Denegar servicios es igual a perder
En tema de seguridad cibernética podemos encontrar distintos tipos de ataques, DDoS es uno de los que más perjudican a las organizaciones debido a que afecta directamente la reputación de los sitios y ocasiona pérdidas.
Con el crecimiento de la vida digital, cada día aumenta el interés en vulnerar las redes con diferentes fines. El espacio digital ahora se vuelve un blanco más atractivo que nunca por la cantidad de operaciones que en las redes se están dando. Banca electrónica, eCommerce, sensores del internet de las cosas, son ejemplos de la criticidad de la información y ésta aumenta constantemente, como también las vulnerabilidades; del mismo modo la delincuencia y el espionaje para sacar el mayor provecho.
“Muchos de los ataques se dan a través de los portales web de las empresas. Según mi experiencia en el mercado de seguridad, un gran número de los portales de las compañías no están protegidos adecuadamente. También los ataques llegan a través de correo electrónico spam, el cual contiene malware o software malicioso y son tremendamente peligrosos cuando se ejecutan dentro de una organización”, aseguró Ismael Toscano, gerente de Barracuda en México, quien dijo que algunos de los ataques más comunes en la red son a nivel de portales web y aplicaciones. “Las agresiones más comunes OWASP Top 10, los cuales son los riesgos más críticos y comunes en esas app. Ejemplo de estos son inyección SQL, OS y LDAP”. Este mismo documento citado por el ejecutivo de Barracuda, destacó que DoS y DDoS es uno de los riesgos que se deben considerar para tener una visión completa de la seguridad de aplicaciones.
Ataques de denegación de servicio y ataques distribuidos
DDoS, por sus siglas en inglés, es un ataque de denegación de servicios, esto es una intrusión informática que ocasiona caídas para que la empresa no pueda proveer servicios a los clientes. Lo anterior significa no sólo pérdidas de dinero, sino de credibilidad y reputación de las marcas. Los ataques DoS son distintos a los DDoS, la diferencia se encuentra en que el primero está dirigido a atacar un solo recurso y el segundo como su nombre lo indica es distribuido.
Julio César Ávila, gerente del área de seguridad en Westcon, explicó que para detectar este tipo de agresiones son necesarias soluciones enfocadas, ya que la forma en la que opera es a través de enviar solicitudes o mensajes para saturar la red, lo anterior no es detectable por antivirus debido a que son direcciones válidas. Estos ataques se pueden hacer por medio de botmasters para infectar equipos de modo paulatino, creando así ataques planeados que esperan hasta estar preparados para tomar acciones dirigidas a una red de dispositivos conectados y estos pueden estar actuando desde distintas conexiones en cualquier parte del mundo. Los paquetes son falsificados y replicados, y cuando se genera un ataque de este tipo es muy difícil rastrear la fuente, ya que cuando están siendo analizados los atacantes cortan las conexiones y borran los rastros.
Tipos de DDoS
Los ataques DDoS se pueden diferenciar en tres tipos: los que envían grandes volúmenes de solicitudes o mensajes para que el ancho de banda no soporte y así se provocan las caídas; llamados volumétricos.
En segundo lugar se encuentran los que agotan las tablas de estado TCP. A nivel infraestructura dirigido a los firewalls, balanceadores de carga y servicios de aplicaciones, según lo explicó Arbor, este modo tiene un gran alcance ya que puede combatir las redes de dispositivos de alta capacidad.
Otro tipo son los que están dirigidos a las aplicaciones y se enfocan en explotar la capa 7, uno de los ataques más comunes y de los más difíciles de prever porque es indetectable el tráfico en la red y pasan por usuarios normales, explicó Marisol López, gerente de canal de Arbor. Por su parte, Ismael Toscano explicó: “son servidores o computadoras que muchas veces contienen un malware y son usadas como ‘botnets’. Básicamente, computadoras que se usan para estos ataques sin que el usuario se dé cuenta”.
López, subrayó que de estos tres: “los ataques volumétricos siguen siendo los preferidos de los atacantes ocupando un 65%, seguido de los ataques aplicativos y de agotamiento de estado con un aproximado del 18% cada uno”.
Asimismo, las tres variantes han sido ya aplicadas en un mismo ataque lo que aumenta la probabilidad de que sean efectivos y alcancen sus objetivos.
“Los delincuentes sofisticados de hoy en día están mezclando ataques volumétricos, agotamiento de estado y aplicativos dentro de un solo ataque sostenido. Estos son populares porque es difícil defenderse contra ellos y a menudo son muy eficaces”: Marisol López.
Ahora bien, también se encuentran diferentes tipos que buscan las vulnerabilidades para instalar nodos master y slaves que les ayudan a potencializar su efectividad en el momento en el que atacan.
Algunos de estos ataques que han sido identificados son:
Trinoo: que opera identificando vulnerabilidad en los sistemas operativos.
TFN (Tribe Food Network) que utiliza paquetes ICMP. TFN2K estos son enlaces encriptados de los que no pueden obtener información sobre los nodos master y pueden utilizar TCP, UDP e ICMP. Algunos de los virus detectados con objetivo de un ataque DDoS han sido: MyDoom, Blaster, Syn Flood, Sasser, Zombie Flood, Non Service Port Flood, Fragment Flood, Http get flood, entre otros.
Recordemos que TCP Transmission Control Protocol, UDP User Datagram Protocol e ICMP Internet Control Message Protocol, son los diferentes tipos de protocolo de envío en la red orientados para establecer conexiones, excepto el UDP que trabaja sin conexión
Marisol López, señaló que algunas de las razones que motivan los ataques pueden ser: “históricamente el hacktivismo se encontraba dentro de los principales motivadores para la generación de un ataque de DDoS, sin embargo, a partir del año pasado la extorsión ha tomado mayor fuerza entre los criminales, este cambio era de esperarse dado el amplio uso de DDoS en este sentido; como fue la campaña DD4BC, además de la proliferación del servicio de booter/stresser que está creciendo y se convierte en un serio problema”. Agregó que la mala situación continúa, ya que ahora también se usa con una táctica de distracción para otro tipo de ataques y para introducir código dañino, para luego robar información.
Referente al hacktivismo, éste puede ser motivado por temas políticos o sociales o como forma de competencia desleal entre empresas para provocar pérdidas y afectar la reputación de los sitios.
¿Qué se puede hacer en caso de ataques?
Para identificar y responder a estos ataques hay medidas y existen distintas propuesta de algunas marcas, por ejemplo, Trino es fácil de detectar ya que utiliza patrones que son fácilmente reconocidos, o en caso de los paquetes ICMP que no especifican el origen y con ello pueden ser detectados, pero ahora se desarrollan ataques que operan de modo más sofisticados.
Se pueden establecer medidas, no obstante, para mitigar esto es necesario tecnología dirigida a acabar con este problema: “la forma tradicional de protección en las empresas se remite al uso de firewalls y antivirus, IPS y filtrado de contenido, esa es la forma tradicional, pero las empresas necesitan evolucionar”, indicó Ávila. Agregó que hoy los UTM brindan seguridad perimetral, es decir, el punto de entrada y salida de la comunicación entre empresas o personas, que antes eran una solución que brindaban seguridad desde una sola caja, “pero hoy no es suficiente porque los ataques son más inteligentes y saturan las conexiones que el firwalle valida en gran volumen y en consecuencia sufren caídas. Por ello existe tecnología especializada para entender los patrones de este tipo de ataques”, agregó Ávila.
López explicó: “la mejor forma de proteger sus recursos de los ataques DDoS es mediante una protección en capas, conformada por soluciones de mitigación en la nube y en sitio, además de la interacción de manera nativa entre ambas tecnologías para cubrir la totalidad del espectro de un ataque de DDoS”.
El ejecutivo de Westcon, coincidió que la seguridad se da en distintas capas y las prácticas varían dependiendo del tipo de empresa, no obstante las soluciones para este tipo de ataques son muchas veces muy caras y no pueden ser costeadas por las compañías de medianas a pequeñas, recalcó que lo anterior no significa que no estén expuestos, aunque destacó que su información puede ser menos crítica que es lo que las diferencia de los tradicionales sectores que están expuestos como podría serlo el financiero o gobierno.
Sin embargo, la nube actualmente abre la posibilidad de adquirir este portafolio. El mayorista entrevistado para este especial recomendó a los clientes con inversiones limitadas consultar todas las opciones a través de un canal, para obtener paquetes, porque dio a conocer que los equipos oscilan entre 60 o 90 mil dólares.
El papel del canal
Los canales especializados en seguridad son de gran valor y juegan un rol fundamental para ofrecer consultoría y realizar diseños de arquitectura. Ismael Toscano, gerente de producto de Barracuda, detalló que los conocimientos más comunes en los canales de seguridad son: “protección de redes, aplicaciones y el funcionamiento correcto de estas. Típicamente, ofrecen soluciones como firewalls perimetrales, Web Application Firewalls, antivirus end point, entre otras, y cuentan con personal de ingeniería con alto conocimiento del funcionamiento de las aplicaciones web y las amenazas que existen”.
Marisol López describió lo que debe de ser un canal especializado de esta manera: “debe de contar con los procesos, tecnología y gente, para que de manera consultiva ofrezcan soluciones de vanguardia y que sean líderes indiscutibles en el mercado, con el fin de atender las necesidades de los clientes sobre las protección contra amenazas emergentes de seguridad”.
Uno de los puntos más sobresalientes en seguridad es que las tecnologías de protección y las inversiones que se hacen en ellas pueden ser muy avanzadas, pero un punto débil se encuentra en el usuario, “éste es muy importante porque puedes estar cubierto, pero si no hay cultura en los passwords y las prácticas son malas hay vulnerabilidad”, agregó Ávila. Aquí es donde entra el rol del canal como consultor, no sólo para proveer el diseño de seguridad de red sino también para traer la cultura a las organizaciones. Al respecto, coincidió Toscano, quién dijo: “uno de los problemas más grandes que vemos dentro de las organizaciones, es la falta de conocimiento de los usuarios en cuanto al uso de herramientas como correo electrónico y la internet. Muchos de los ataques vienen a través del correo electrónico y portales web que éstos usuarios visitan”.
En su posición de mayorista, Ávila reiteró “en el mercado hay muchas herramientas de seguridad, pero no hay una sola marca para poder brindar la seguridad de modo integral”, por ello agregó que trabajar con un mayorista sirve para tener un portafolio extenso y apoyos en capacitación, así como para estar actualizados en las nuevas tendencias y obtener las tecnologías de defensa más avanzadas.
