Inicio / Protege tu empresa / Blog / ¿Hemos echado el cierre o nos están haciendo un DDoS?

¿Hemos echado el cierre o nos están haciendo un DDoS?

Publicado el 22/03/2013, por INCIBE
¿Hemos echado el cierre o nos están haciendo un DDoS?

De unos años hacia esta parte muchas pequeñas y medianas empresas han trasladado su actividad comercial del mundo físico al mundo virtual con el objetivo de abrir cuota de mercado y en busca de una expansión. De esta manera, multitud de comercios han optado por Internet como el escaparate para su actividad comercial, algo que por una parte tiene multitud de ventajas pero que por otra, también podría suponer algún inconveniente.

En el mundo de la seguridad se sabe que el abanico de objetivos de los ciberdelicuentes crece progresivamente a medida que las tecnologías avanzan, pero además también se trasladan algunos tipos de delitos del mundo físico al mundo virtual como es el caso de determinados "métodos mafiosos". Recientemente, personal del CERT de INTECO tuvo la posibilidad de acudir a la conferencia de seguridad RootedCON 20013 en la que David Barroso expuso en su charla información de un "nuevo nicho de mercado/negocio" que se estaba poniendo en práctica sobre todo en países de Europa del Este, pero que también se está dando en Norte-América y Suramérica, y es probable que se propague al resto de países. Se trata ni más ni menos que de tratar de extorsionar a pequeñas y medianas empresas amenazando con dejar sin servicio sus portales, páginas web o cualquier otro servicio conectado a la Red. Por el tipo de ciberdelito que realizan, se podría denominar a estos grupos de vándalos como la Cosa Nostra 2.0.

Es de sobra conocido que a lo largo de estos últimos años grupos organizados han atacado las webs de grandes empresas utilizando técnicas y/o aplicaciones para la denegación de servicios distribuida (DDoS) con el objetivo principal de borrar su presencia en Internet durante determinados intervalos de tiempo. Esto evidentemente además de que en ocasiones se trataba de un acto de protesta, en otras causaba un gran impacto reflejado sobre todo en términos económicos. Este problema se traslada ahora a las pymes y el objetivo por parte de los cibercriminales básicamente es obtener una cuantía económica por volver a permitir que la web o servicio de la empresa vuelva a estar disponible. Para alguien que desconozca este tipo de acciones puede resultar sorprendente que sean factibles, pero sin duda lo que más asombroso es lo sencillo y barato que puede resultar "contratar" un servicio de este tipo. Y sí, cuando nos referimos a "contratar" es que existen empresas que se dedican a dar este tipo de servicios. Para hacerse una idea los precios que se manejan:

  • Para sitios web personales o de pequeñas empresas: entre 10$ y 50$ por hora de ataque.
  • Para sitios web corporativos o de grandes empresas: entre 50$ y 200$ por hora de ataque.

Evidentemente en el mercado negro es posible encontrar rangos de precios más económicos o más elevados. Adicionalmente la empresa que ofrece el servicio permite que el cliente establezca el rango horario o el periodo en días e incluso semanas y meses, en el que se quiere programar el ataque. A pesar de que los ataques a pequeñas empresas no suelen hacerse públicos, a continuación se indican algunos ejemplos ataques recientes:

Ilustración de un ataque DoS

¿Y cómo se llevan a cabo estos ataques?

Por lo general, las "empresas" que ofrecen los servicios de DDoS cuentan con numerosas botnets, compuestas por miles de ordenadores infectados por distintos malware que cuentan con la funcionalidad de realizar ataques de denegación de servicio entre otras. Algunas de las redes zombi que han utilizado este tipo de ataques son Zemra, Zeus, BlackShell o Brobot. Algunos de los métodos utilizados para provocar un DoS son:

  • SYN-Flood: en este tipo de ataque DDoS y considerando el sistema para las conexiones TCP (3-way handshake), el ordenador atacante enviaría un gran número de peticiones SYN al servidor que devolvería sus correspondientes SYN-ACK. La denegación se produce en este punto ya que el servidor, para completar la conexión, es necesario que recoja la respuesta ACK del cliente, de modo que poco a poco al servidor se le van agotando de recursos a causa de que reserva capacidad de procesamiento para las respuestas que nunca le van a llegar.
  • DRDoS (Distributed Reflection Denial of Service): en este caso los atacantes envían mensajes SYN con la IP falseada (spoofed) del servidor objeto del ataque a otros hosts (reflectores). Cada uno de estos hosts contestarán a dicho paquete enviando su respuesta al servidor. La suma global de todos estos paquetes generarán un alto volumen de tráfico que inundará el servidor atacado produciendo de esta forma una denegación de servicio.
  • DNS Amplification: en este tipo de DoS se envían multitud de peticiones DNS a "open resolvers" con la IP falseada del servidor que se quiere atacar. Lo que conlleva que la respuesta generada por los "open resolver" será de un tamaño bastante superior a la petición inicial lo que provoca la saturación de recursos del servidor atacado.

¿Qué medidas se han de tomar si se está sufriendo un ataque de este tipo?

Evidentemente en esta modalidad de ataque (DoS + extorsión), el afectado siempre sabrá cuándo lo está sufriendo ya que el extorsionador le notificará de algún modo instándole a que le entregue una cantidad de dinero por devolver la disponibilidad de su portal web. La primera medida que se debe tomar en este caso es jamás acceder al pago ya que de otro modo, el ciberdelincuente habrá encontrado una víctima perfecta en la que la extorsión probablemente no tendrá fin.

Tras recibir la "notificación" otra medida en paralelo con la anterior, sería denunciar el hecho ante los Cuerpos y Fuerzas de Seguridad del Estado. En la web del CERT de INTECO están disponibles todos los contactos.

Como última medida, hay que buscar apoyo técnico que permita solventar la situación de indisponibilidad. Afortunadamente ante este panorama aparentemente tan desalentador, es posible encontrar soluciones para frenar esta amenaza. Existen multitud de empresas que ofrecen soluciones para mitigar los ataques como CloudFlare, Prolexic o para casos de mayor envergadura Akamai, que cuentan con una dilatada experiencia en este campo.

Como resumen, ante un ataque de estas características, jamás acceder al pago, denunciar e implantar medidas técnicas que mitiguen el problema. De ese modo los únicos autorizados a "echar la trepa del negocio" serán los dueños del mismo.

Etiquetas: