Por lo general, se lanzan una cantidad ingente de peticiones al servidor, provocando de esta forma una sobrecarga, llegando a saturarlo y bloqueando su actividad. Su objetivo, por tanto, es la de inhabilitar el uso de un sistema. En estos casos, suelen tratarse de servidores web, que tienen la capacidad de resolver un número limitado de peticiones (conexiones) de usuarios al mismo tiempo. Cuando se supera ese número, el servidor se ralentiza hasta que llega a bloquearse o desconectarse de la red en el caso de ser un número de conexiones inmanejables.
La diferencia respecto a los denominados DDoS (ataques de denegación de servicio distribuidos – Distributed Denial of Service) es el número de ordenadores (o de direcciones IP) que realizan dicho ataque. Esta modalidad suele ser la más usada por los cibercriminales, ya que también es mucho más efectiva.
Los ataques DDoS se realizan desde varios ordenadores al mismo tiempo, los cuales realizan peticiones masivas y constantes al servidor que quieren tumbar. Cada uno de ellos tiene una dirección IP diferente y suelen estar ubicados en diferentes lugares del mundo.
Aquí es donde entran en juego las botnets. Los ciberdelincuentes no cuentan con múltiples ordenadores en diferentes países para poder perpetrar este tipo de ataques, sino que se sirven de ordenadores de usuarios corrientes que previamente han infectado con un software malicioso.
Una vez infectados con el malware, estos equipos se convierten en bots, que forman parte (sin saberlo) de una botnet que puede estar formada por decenas, cientos o incluso miles de estos ordenadores «zombies», que hacen lo que les diga el ciberdelincuente desde su pantalla de comando y control.
DDoS: un ciberataque «para todos los públicos»
A pesar de que este ciberataque no va directamente a por el dinero, como sí hacen otro tipo de técnicas como el ransomware, no deja de ser un ataque muy dañino tanto para empresas y organizaciones como para usuarios.
Las compañías ven cómo su web u otros servicios quedan totalmente inaccesibles, con los consiguientes costes económicos y reputacionales que eso conlleva.
Por ejemplo, el famoso ciberataque masivo que sufrieron a finales de 2017 empresas como Twitter, Spotify, Netflix o PayPal, que dejó sus servicios bloqueados para medio planeta, se trató de un ataque de denegación de servicio.
Uno de los agravantes de este tipo de ciberataque es que para llevarlo a cabo por parte de un atacante no es necesario si quiera contar con los conocimientos técnicos para desarrollarlo.
Existen webs de alquiler de servicios DDoS que proporcionan la herramienta de «botón gordo» que cualquier persona puede comprar y usar. Los precios de este «DDoS as a service» varían en función del ancho de banda que se contrate y de la duración del ataque, y se muestra como si se contratase un plan de cualquier servicio online, con tarifas y descuentos adaptados a todo tipo de cibercriminales, como muestran en Securelist.
Europol o el FBI, entre otras fuerzas policiales, están constantemente en búsqueda y captura de este tipo de sitios ilegales. Una de las últimas operaciones, en diciembre de 2018, se saldó con el cierre de 15 sitios web de alquiler de servicios DDoS, los cuales se habían utilizado para realizar más de 200.000 ataques de este tipo.
Duraderos, extensos y exigentes: así son los nuevos ataques DDoS
Una amenaza invisible, pero constante
Las técnicas usadas por los ciberdelincuentes también van por «modas». Por ejemplo, el ransomware en los últimos años o durante 2017 y parte de 2018 ha sido muy popular el cryptojacking, es decir, la minería ilegal de criptomonedas aprovechando la capacidad de los ordenadores de las víctimas. Ha sido un ataque muy popular entre los criminales digitales ya que las criptomonedas estaban aumentando su valor y la rentabilidad del ciberataque era alta.
Y es que al fin y al cabo en eso se basa todo: en la rentabilidad. Las técnicas más usadas entre los ciberdelincuentes varían en función de la productividad que tendrá su esfuerzo.
En relación a los ataques DDoS, por ejemplo, durante el pasado año disminuyó considerablemente el número de este tipo de ataques. Probablemente, debido a que eran más lucrativos los ataques relacionados con la minería de criptomonedas.
Sin embargo, las estadísticas del primer trimestre de 2019 muestran que los atacantes se están volviendo a interesar por este ciberataque. Así lo revela Kaspersky Lab en un reciente informe, que señala que el número de ataques DDoS que han bloqueado ha aumentado un 84%, en comparación con el cuarto trimestre de 2018.
A pesar del reciente cierre de importantes sitios que ofrecían este tipo de servicios, se cree que el repunte se ha producido tras la apertura de nuevas webs de alquiler de servicios DDoS.
Según explica el fabricante de seguridad, el área de crecimiento principal es la de ataques DDoS que duraron más de una hora. Cuanto mayor es la duración de este tipo de ataques, mayor la sofisticación y complejidad que necesitan para organizarlo, y más difíciles también de parar.
Las compañías no tienen más remedio que contar con medidas de protección y prevención adecuadas para este tipo de ataques. Por otro lado, los usuarios también deben velar para que su dispositivo no se convierta en un bot.
El INCIBE (Instituto Nacional de Ciberseguridad) cuenta con un servicio antibotnet a través del cual podemos averiguar si nuestro equipo está formando parte de una de estas redes preparadas para lanzar el próximo ataque.
