Existen muchas maneras de realizar un ataque cibernético. Las empresas, independientemente de su tamaño, se enfrentan día a día a ataques que pueden hacer peligrar la continuidad de su negocio. Entre todos los tipos de ataques que pueden sufrir, debemos destacar los ataques de denegación de servicios. Como empresa, es importante conocer las características de este tipo de ataque y qué medidas se han de tomar para prevenirlo.
Cuando hablamos de Denegación de Servicio nos referimos a un ataque que busca la inhabilitación de un sistema para impedir o bloquear el servicio de la misma. En otras palabras, trata de inutilizar el servicio mediante el colapso del sistema. Es uno de los ataques más utilizados para interrumpir la actividad de una empresa.
¿Cómo se desarrolla el ataque?
Para explicar el proceso utilizaremos la página web de una empresa como ejemplo de servicio. Cuando un usuario quiere acceder a una página web envía una solicitud al servidor. Es este el que autoriza el acceso. Pues bien, los sistemas que gestionan los servicios (en este caso la web) tienen un número delimitado de recepción de solicitudes simultáneas. Si se sobrepasa este número, el sistema no puede dar respuesta a todo y colapsa. No debemos pensar únicamente en la página web de la empresa como aquella que ve el usuario común. Cualquier servicio en la red que disponga la empresa puede ser objeto de ataque. Esto también puede ocurrir con páginas internas, por ejemplo, si el ciberdelincuente conoce dónde debe lanzar el ataque.
DoS y DDoS
Una vez explicado el funcionamiento, existen dos formas de ejecución de la denegación de servicio. El objeto de esta diferencia será el número de IP’s o dispositivos con los que se realice el ataque. Por ello debemos diferenciar entre; denegación de servicios y denegación de servicios distribuidos.
La denegación de servicios utiliza un solo dispositivo o IP para enviar gran cantidad de solicitudes simultáneas que provocan el colapso del sistema. En este caso, y de cara a la respuesta ante este incidente, es más “sencillo” determinar cuál ha sido el origen del ataque, puesto que sólo es uno.
La denegación de servicios distribuidos utiliza un gran número de dispositivos o IP’s, denominadas botnet. Una botnet o ejército zombie es una infraestructura de multitud de dispositivos conectados y controlados por un atacante. Estos son dispositivos (en su mayoría de usuarios comunes) son infectados mediante programas maliciosos. En la mayoría de los casos, el propio usuario no es consciente de la infección del dispositivo, que aguarda hasta que el ciberdelincuente lo utiliza para realizar el ataque.
Tipos de ataques de denegación de servicios
Una vez realizada la división en función del método utilizado para el ataque, encontramos múltiples clasificaciones de este tipo de ataques. Existen tantos tipos que las clasificaciones son muy variadas, pero en este caso nos centraremos en una clasificación en función del efecto que provoca* (Fuente: Clasificación de los ataques DoS | INCIBE-CENRT):
- Saturación: El ejemplo que mencionábamos al inicio de este post sería un claro ejemplo de saturación. Trata de saturar o inhabilitar los recursos del sistema como la CPU, el ancho de banda o la memoria.
- Modificación de la configuración: En este caso, el objetivo principal es, mediante el colapso busca la alteración del sistema. Puede provocar la caída del sistema por los efectos críticos que puede llegar a generar en, por ejemplo, los servidores.
- Destrucción: Utiliza los accesos en remoto para provocar la alteración física o destrucción de algunos de los elementos del sistema.
- Disruptivo: Impide la comunicación entre dos dispositivos mediante la alteración del estado de la información, inhabilitando la transferencia de información. Un ejemplo de ello es el conocido como TCP attack que reinicia las sesiones TCP.
- Obstrucción: Impide la comunicación entre interlocutores.
¿Cómo prevenir este tipo de ataques?
Los DoS y DDoS pueden suponer pérdidas irreparables en una compañía. En estos casos, la prevención es la mejor manera de evitar sufrir este tipo de ataques. Desde SmartHC te contamos algunos consejos que puedes aplicar en tu empresa para evitar y prevenir DoS:
Medidas de prevención de la estructura:
La infraestructura de la empresa debe ser uno de los puntos iniciales a la hora de su protección. Realizar un inventario de los sistemas que utiliza la empresa, revisar sus características, mantenerlos actualizados… Servicios externos como una auditoría de la compañía puede ayudar conocer los sistemas y sus servicios para aplicar las medidas necesarias.
Medidas de prevención en la red:
Las medidas utilizadas para la infraestructura son aplicables para la prevención en la red. Conocer la infraestructura de la red y aplicar las medidas necesarias es la mejor forma de prevención. Un ejemplo de las medidas aplicables es la configuración del routers y firewalls. Mediante esta configuración se puede generar una lista de control de acceso (ACL) que controla el acceso en función de las IP’s solicitantes. Estas medidas también deben se deben aplicar también de manera virtual en los servicios del servidor. Contar también con un ancho de banda acorde a las solicitudes aceptadas (el mayor posible) evitará el colapso en el mismo.
Otra de las medidas a tomar en cuenta es la redundancia y el balance de carga de la misma. Es decir, tener duplicados en distintos servidores y repartir la carga en ellos en función de la carga de trabajo que se necesite en cada caso.
Estas medidas pueden ser aplicadas en cualquier empresa para prevenir los ataques de denegación de servicios. Pero estos ataques no son sólo provocados por los ciberdelincuentes para dañar la empresa. En SmartHC contamos con servicios especializados como auditorias anteriormente comentadas y servicios de Red Team para la simulación de ataques.
Lorena Mellado Valle
Responsable Dpto. Comunicación y Marketing