Cómo detener un ataque DDoS en 5 pasos

Cualquier administrador web se esfuerza por mantener su sitio en funcionamiento durante grandes picos de tráfico. Pero, ¿cómo asegurarse de que esos picos de tráfico sean legítimos? Y, lo que es aún más importante, ¿cómo reaccionar cuando no lo son?

Por desgracia, la realidad es que los ataques DDoS pueden representar una amenaza tanto para sitios web de gran envergadura como para aquellos más modestos. En este artículo, revisaremos algunos conceptos básicos importantes sobre cómo detener un ataque DDoS y cómo prevenir su aparición en el futuro.

¿Qué es un ataque de denegación de servicio distribuido?

Un ataque distribuido de denegación de servicio (Distributed Denial of Service, DDoS) es un ciberataque en el que el tráfico normal dirigido a un servidor, servicio o red se interrumpe debido a una avalancha de tráfico de Internet. Por lo general, el ataque se lanza utilizando múltiples equipos comprometidos o recursos de red, incluidos dispositivos del Internet de las cosas (IoT).

Explicado de forma muy sencilla, un ataque DDoS es como un enorme embotellamiento en una autopista que impide que los pasajeros habituales —en este caso, los visitantes legítimos de un sitio— lleguen a su destino deseado.

¿Qué tipos de ataques DDoS existen?

Existen varios tipos de ataques DDoS. Todos ellos impiden que los usuarios legítimos accedan a un sitio web, ya sea enviando solicitudes falsas o un volumen de tráfico muy superior a lo que el servidor puede manejar.

A continuación, se describen algunos de los tipos de ataques DDoS más comunes.

Ataques DDoS volumétricos

Estos ataques son los más frecuentes entre los DDoS. Su objetivo es saturar el ancho de banda de un sitio web o sobrecargar la CPU, lo que reduce drásticamente la capacidad de operaciones de entrada/salida por segundo. Si el atacante logra sobrepasar la capacidad del equipo objetivo, el ataque ha tenido éxito.

Algunos ejemplos de ataques DDoS volumétricos incluyen:

• UDP flood. Es un ataque en el que el atacante envía un gran número de paquetes UDP a puertos aleatorios del servidor de destino. Dado que UDP no requiere el establecimiento de conexión, el servidor intenta responder a cada solicitud, generalmente con un mensaje de puerto inaccesible. Esto sobrecarga los recursos de red y puede llevar a una denegación de servicio.
• ICMP flood. Aquí, el atacante envía gran cantidad de paquetes ICMP (por ejemplo, Echo Request utilizados por la herramienta ping) a la máquina objetivo. El propósito es saturar los recursos de red y la CPU del dispositivo de destino, forzándolo a responder a cada solicitud.
• Ping flood. Es una variante del ICMP flood, donde el atacante envía solicitudes masivas de ping al sistema de destino. Si el sistema está configurado para responder a cada solicitud, esto puede agotar rápidamente sus recursos de red y de procesamiento.

Ataques DDoS basados en protocolos

Los ataques DDoS basados en protocolos apuntan a vulnerabilidades en los protocolos de los niveles 3 y 4 para agotar los recursos del servidor o del equipo de red, provocando fallos en el servicio.

Si el atacante consume más ancho de banda del que pueden procesar los puertos de red o envía más paquetes de los que el servidor puede manejar, el ataque habrá tenido éxito.

Algunos ejemplos de ataques DDoS basados en protocolos incluyen:

• Ping of death. Consiste en enviar paquetes ping especialmente formados, cuyo tamaño excede el máximo permitido para un paquete IP (65.535 bytes). Estos paquetes pueden provocar desbordamientos de búfer u otros problemas en el sistema, causando inestabilidad o caída.
• SYN flood. En este ataque, el agresor envía una gran cantidad de paquetes SYN (que inician la conexión TCP) al servidor de destino, sin completar el proceso de establecimiento de conexión. Esto agota los recursos disponibles para nuevas conexiones, imposibilitando la respuesta a solicitudes legítimas.

Ataques DDoS a nivel de aplicación

Los ataques a nivel de aplicación tienen como objetivo agotar la CPU, la memoria o los recursos asociados al nivel de aplicación web, incluyendo el servidor web, la ejecución de scripts PHP o el acceso a la base de datos para cargar una sola página.

Algunos ejemplos de ataques DDoS a nivel de aplicación incluyen:

• Ataques dirigidos al servidor DNS. El propósito es saturar un servidor DNS con solicitudes masivas. Esto impide que el servidor procese solicitudes legítimas, imposibilitando el acceso a sitios web y servicios en línea cuyas zonas DNS dependen de él.
• Cache bypass. El atacante envía solicitudes de tal forma que no puedan ser atendidas mediante caché. Por ejemplo, solicitudes con parámetros únicos o encabezados específicos, lo que obliga al servidor a procesar cada petición individualmente en lugar de usar respuestas en caché.
• HTTP flood. El atacante genera un gran número de solicitudes HTTP para saturar el servidor web o la aplicación que se ejecuta tras él. A diferencia de los ataques en niveles más bajos, que se centran en la infraestructura de red, el HTTP flood se dirige a la aplicación, forzando al servidor a emplear recursos para procesar cada solicitud. Estos ataques pueden camuflarse como tráfico legítimo, dificultando su detección y bloqueo.

Impacto y consecuencias de un ataque DDoS

No estar preparado para un ataque DDoS puede llevar, en el mejor de los casos, a la pérdida de tráfico por un periodo indefinido, y en el peor, a una pérdida de reputación y ventas. Estos efectos pueden impactar gravemente el negocio.

Algunos datos que reflejan la gravedad de los ataques DDoS:

• Para los delincuentes, comprar los recursos necesarios para lanzar un ataque DDoS de una semana puede costar tan solo 150 dólares.
• Un ataque DDoS pequeño y dirigido puede costar apenas 10 dólares al atacante.
• Ocurren más de 2000 ataques DDoS al día en todo el mundo.
• Un ataque DDoS exitoso puede causar pérdidas económicas enormes a la empresa víctima.

Cómo verificar la presencia de ataques DDoS

Es importante monitorear regularmente los picos de tráfico de tu sitio para detectar cualquier anomalía evidente.

Como hemos mencionado, los ataques DDoS volumétricos son los más comunes, pero no todos los ataques DDoS son de gran magnitud.

Un aumento repentino del tráfico es una señal clara de un posible ataque DDoS. Es esencial configurar herramientas de monitoreo de la actividad del sitio con antelación y revisarlas con frecuencia, para no llevarse la sorpresa de encontrar el sitio caído durante horas o incluso días. Estas herramientas permiten configurar alertas si el volumen de solicitudes supera en gran medida el umbral habitual.

Existen otros indicadores que también pueden revelar actividad maliciosa contra un sitio web:

• La hora del día en la que se produce el pico de solicitudes.
• La ubicación desde donde provienen dichas solicitudes.
• La época del año en que se presentan.

¿Esperarías un pico de visitas a las dos de la madrugada? ¿Esperarías un gran volumen de visitantes de países lejanos? Quizás vendes un producto estacional, como fuegos artificiales de Año Nuevo; en tal caso, un aumento de actividad en invierno sería comprensible.

En definitiva, primero hay que descartar razones legítimas de un incremento en el número de solicitudes. Si no hay explicación lógica, toca plantearse bloquear ese tráfico sospechoso.

Nota: El bot de Google (Googlebot) puede realizar múltiples solicitudes a tu sitio web, lo que podría parecer sospechoso a simple vista. Sin embargo, tanto Googlebot como otros rastreadores de motores de búsqueda funcionan así para garantizar un correcto posicionamiento del sitio en los resultados de búsqueda. Por lo tanto, es importante medir ese tráfico con herramientas especializadas y no confundirlo con tráfico malicioso ni bloquearlo.

¿Cómo defenderse correctamente de los ataques DDoS?

A primera vista, la solución parece obvia: ¡bloquear la fuente de los ataques! Sin embargo, hay varios aspectos clave que conviene revisar para no cometer errores graves.

• Lista de control de sistemas de protección. Prepara de antemano un inventario completo de los activos y herramientas que se deben implementar en tu infraestructura de red para asegurar la detección y prevención adecuadas de los ataques DDoS.

• Establece con anticipación las responsabilidades de los miembros clave de tu equipo de seguridad, para asegurar una respuesta organizada ante un ataque.
• Define métodos o soluciones alternativas. Asegúrate de que tu equipo sepa a quién acudir si la magnitud del ataque supera lo esperado y las medidas estándar no funcionan.
• Informa sobre la posible caída del servicio. Si tienes clientes que usan tu sitio regularmente, planifica cómo notificarles rápidamente sobre la indisponibilidad temporal del sitio o la disminución en su rendimiento.

Cómo detener un ataque DDoS

A continuación, presentamos los pasos concretos para detener un ataque DDoS antes de que afecte a tu sitio y a su tráfico.

1. Detecta el ataque DDoS

La detección temprana reduce significativamente el impacto y el tiempo de inactividad de tu sitio web. Si gestionas tus propios servidores web, asegúrate de contar con servicios que te ayuden a detectar de forma oportuna un ataque DDoS.

2. Mantén suficiente ancho de banda y recursos

Tu servidor web debe estar configurado para asumir un aumento imprevisto de tráfico, especialmente si lanzas periódicamente campañas publicitarias u ofertas. Estos recursos adicionales pueden brindarte unos minutos extra para responder a un ataque DDoS antes de que se sobrecargue por completo.

3. Protege el perímetro de tu red

Si administras tu propio servidor web, puedes adoptar varias medidas para mitigar los efectos de un ataque DDoS. Por ejemplo, limitar el número de solicitudes que tu servidor recibe en un periodo determinado, aplicar filtros para descartar paquetes sospechosos o establecer un umbral más bajo para el tráfico ICMP, SYN y UDP.

4. Utiliza un firewall de aplicaciones web

Un firewall de aplicaciones web (Web Application Firewall, WAF) puede ayudar a proteger contra ataques DDoS y DoS, amenazas de nivel 7, bots maliciosos e incluso corregir vulnerabilidades conocidas en sitios web. El WAF actúa como una capa de defensa que se interpone entre tu sitio y el tráfico entrante.

Existen diversas soluciones WAF que ofrecen mitigación automática de amenazas DDoS, pero una de las mejores maneras de determinar cuál es la más adecuada para tu proyecto es analizar la efectividad de la protección, si se ajusta a tu presupuesto y si tu equipo sabe configurarla correctamente.

5. Activa el bloqueo por regiones

El bloqueo a nivel de país suele ser bastante eficaz para minimizar riesgos y puede ayudar a cumplir con ciertas políticas organizacionales que buscan bloquear a hackers. Sin embargo, ten en cuenta lo siguiente:

• La ubicación física no significa nada para las computadoras, ya que se puede falsificar. Un firewall de sitio web solo ve direcciones IP, cuya ubicación se determina por tablas que pueden quedar obsoletas con el tiempo.
• Los atacantes pueden evadir fácilmente el bloqueo por región usando proxy anónimos o ubicando su tráfico en zonas fuera de los países bloqueados.

Esto no significa que bloquear por país no ayude en absoluto a prevenir amenazas DDoS; simplemente no es una panacea y no debe bloquearse el tráfico de todos los países excepto el tuyo para una falsa sensación de seguridad.

Hoy en día, la mayoría de los botnets están conformados por miles de sitios web hackeados, sistemas de videovigilancia comprometidos, computadoras infectadas y otros dispositivos IoT. Los ataques provienen de todas partes del mundo y, en este sentido, el bloqueo por país puede impedir que miles de bots “sin cerebro” inunden tu servicio. Por tanto, esta medida tiene su lado positivo.

Conclusión

Los ataques DDoS representan una amenaza muy seria para propietarios de sitios web y servicios en línea. Aunque sea imposible evitarlos por completo, se pueden mitigar con eficiencia aplicando una combinación de estrategias y medidas técnicas.

La detección temprana de los ataques, el mantenimiento de ancho de banda suficiente y la implementación de sistemas de protección —como firewalls de aplicaciones web o bloqueo por región— pueden reducir de forma notable el riesgo y el impacto de estos ataques. Además, contar con un sistema de monitoreo bien configurado y un plan de respuesta claro ante incidentes brinda protección adicional y contribuye a mantener la continuidad de los procesos de negocio en caso de un ataque.