¿Los ataques DDoS son peligrosos para mi empresa?

Por Esteban Echeverría – Regional B2B Product Specialist

Al leer las letras CIA es probable que lo primero que se nos venga a la mente es Central Intelligence Agency que es la principal agencia de inteligencia del Gobierno federal de los Estados Unidos. Ahora bien, hablando de ciberseguridad, CIA es un modelo de seguridad de la información ampliamente utilizado en las organizaciones para guiar los esfuerzos y políticas con el fin de mantener la seguridad de su información.

El modelo CIA hace referencia a la confidencialidad, integridad y disponibilidad, (por sus siglas en inglés Confidentiality, Integrity y Availability), de los datos y recursos de una empresa. En ciberseguridad entendemos confidencialidad como la privacidad de datos e información. Por ejemplo, hay casos en los que, a ciertas personas o dispositivos dentro de una organización, se le debe permitir o restringir el acceso para ver ciertos archivos y datos. La manera más utilizada para lograr mantener la confidencialidad de la información es a través de la encriptación o cifrado. Por otra parte, la integridad es el concepto que hace referencia a que la información que estamos transmitiendo, procesando y/o guardando no ha sido modificada de su forma original, ya sea accidentalmente o maliciosamente. Los que trabajamos con información sabemos que la integridad es un criterio fundamental pues cualquier mutación, por más mínima que sea, puede transformar el significado de manera abismal. Por ejemplo, solo el cambio de una letra en la frase de “you are hired” (estás contratado) a “you are fired” (estás despedido), puede determinar si se trata de una buena o una mala noticia. Por lo tanto, cambiar cifras o palabras de un documento sensible es peligroso y puede tener graves consecuencias. La principal forma de asegurar la integridad de la información es a través del hashing. Por último, pero no menos importante, la disponibilidad es el criterio que hace referencia al acceso de la información o recursos cuando son necesarios. Las posibilidades son varias dependiendo del contexto, ya sea, ser capaz de acceder a la banca digital para realizar cualquier operación como pagos y transferencias, como acceder a la ficha médica de un paciente en un momento de emergencia.

Tras haber analizado la tríada del modelo CIA de una manera general quisiera detenerme y profundizar en este último criterio. La disponibilidad actualmente está siendo afectada por los ataques de denegación de servicio, conocidos como DoS (Denial of Service), de manera significativa. Tan significativo es que, según Data Breach Investigations Report 2019 de Verizon (DBIR), los ataques de denegación de servicio están actualmente en la cima de acciones asociadas con incidentes de seguridad. Las frecuencias de estos ataques han aumentado. Solo en el 2018 hubo 6.13 millones de ataques de DDoS, lo que representa 11 arremetidas por minuto y en el 2019 aumentaron a 8.4 millones, que se traduce a 16 por minuto. Gran parte de esto se debe a la proliferación de los dispositivos de IoT que no cuentan con seguridad incorporada de forma nativa, por lo tanto, pueden verse comprometidos de una manera relativamente sencilla. Por ejemplo, en el 2016 el malware Mirai infectó dispositivos de IoT, en su mayoría cámaras de IP, y dejó sin acceso a varios sitios web de alto perfil como Twitter, Reddit, Netflix, Airbnb, entre otros. Esta fue una de las arremetidas de DDoS más grandes y con mayor impacto de la historia. Otro aspecto importante a resaltar es el tamaño del tráfico, que ha crecido de manera exponencial. En el 2007 el ataque más grande registrado fue con un tráfico de 24 Gbps y en el 2018 fue de 1.7 Tbps, lo que quiere decir que del 2007 al 2018 creció 70 veces el tráfico utilizado para un DDoS y la tendencia es que siga subiendo.

A todo esto, ¿qué son los ataques de DDoS? DBIR los define como cualquier ataque destinado a comprometer la disponibilidad de redes y sistemas. En otras palabras, cualquier ataque a recursos expuestos a internet, entiéndase páginas web, servidores, dispositivos de infraestructura y otros servicios en línea. ¿Cómo lo hacen? Los ciber-adversarios utilizan dispositivos comprometidos que se conocen como bots, y al conjunto de estos dispositivos (botnet), con una administración en común para gestionarlos, es decir un command and control. Al tener la capacidad de controlar un “ejército” de bots, los ciber-adversarios generan varias peticiones por segundo, a una misma URL o dirección de IP, saturando la página web hasta dejarla inactiva a usuarios legítimos. Para entenderlo mejor, utilizaremos la analogía del tránsito vehicular. Pongamos que nos queremos trasladar en carro del punto A al punto B, pero hay demasiado tránsito que nos impide llegar. Toda la sobrecarga de vehículos representa los bots con sus peticiones de servicio hacia el enlace, y nuestro carro sería el usuario legítimo que está siendo incapaz de llegar al destino deseado. ¿Cuál puede ser el motivo para realizar uno de estos ataques? Pueden ser desde motivos políticos, sociales, ideológicos y monetarios, pero, indudablemente, buscar una recompensa financiera es el prioritario de los atacantes. En el caso particular de los ataques de DDoS, la lógica criminal es de extorsión, es decir inhabilitar los servidores para que no puedan operar de manera natural pudiéndoles causar grandes pérdidas económicas.

Ahora bien, ¿por qué una empresa debería preocuparse por un ataque de denegación de servicio? A pesar de que los ataques están aumentando en tamaño, frecuencia y complejidad, lo que es realmente alarmante es la facilidad con la que se pueden realizar. Para lanzar un ataque de DDoS hace 10 o 15 años era necesario tener conocimientos técnicos y había que realizar un gran trabajo para infectar dispositivos. Hoy en día no es necesario tener algún conocimiento técnico para llevarlo a cabo. Se puede aprender a hacerlo en Google y en tutoriales en Youtube. Además, en la Internet nos encontramos con herramientas como por ejemplo un LOIC (Low Orbit Ion Cannon) que es una aplicación, que se ha popularizado por grupos como Anonymous, diseñada para realizar un ataque de denegación de servicio. Como si no fuera suficiente, hoy en día no solo podemos aprender a utilizar herramientas para hacer un DDoS, sino que también podemos contratar a alguien para que realice un ataque a un precio muy accesible. Se han visto ofertas de hasta $5 la hora y se paga en criptomoneda para que sea totalmente anónimo. Esto debería de alarmarnos a todos ya que estamos muy vulnerables y las probabilidades de ser víctimas de un DDoS aumentan cada día. Las herramientas están en las manos de todos y pueden ser utilizados por cualquiera, no solo por los ciber-criminales. Por ejemplo, se conocen casos de competencia desleal y de ex colaboradores que no se fueron en buenos términos y que atacan a las organizaciones. Netscout estima que el costo del tiempo de inactividad promedia alrededor de $222,000 por ataque. Por lo que vale la pena preguntarse, ¿nuestras organizaciones cuentan con un escudo contra la denegación de servicio? ¿Tenemos cubierta la letra A de la CIA?