Ataques DDoS aumentan y le dan oportunidad al canal
Los ataques de denegación de servicios crecen en volumen y complejidad y las vulnerabilidades aumentan porque estamos frente a una era tecnológica en la que prácticamente todo está conectado
Cada vez se lee más en las noticias sobre ataques más sofisticados y frecuentes de denegación de servicios, pero poco se sabe sobre su naturaleza, sus consecuencias y cuál es la mejor forma de protegerse ante un ataque de este tipo.
El crecimiento exponencial de dispositivos conectados a internet (el llamado Internet de las cosas IoT por sus siglas en inglés) y la revolución de las telecomunicaciones con la red 5G son dos ecosistemas que han expuesto que cada vez se hacen más complejos estos ataques y, además, se den con mayor frecuencia.
“En los últimos seis meses, hubo casi cuatro millones de ataques DDoS en todo el mundo y la frecuencia de éstos aumentó 39%”: Netscout
Retos
¿Qué es y en qué consiste un ataque DDoS? Una cosa es que haya información y estadísticas sobre la frecuencia de los ataques y otra es saber en qué consiste y cómo protegerse de ellos.
“Los ataques de denegación de servicios son relativamente nuevos en comparación con otras cuestiones de seguridad que ya conocemos, y es importante saber primero, qué está pasando, y segundo, tienen que encontrar una solución para protegerse”, aseguró Claudio García Gay, country manager en México de A10 Networks.
Mencionó que actualmente hay múltiples formas de adquirir una solución para proteger a los usuarios de estos ataques, pero recalcó que el mercado necesita soluciones que se adecúen a sus necesidades, tanto en seguridad como en precio.
Un ataque de denegación de servicio se presenta cuando se utilizan dispositivos conectados a internet para saturar de peticiones algún servicio o aplicación en internet.
Naturalmente, un servicio de internet tiene un número límite para recibir solicitudes de los usuarios interesados en algún servicio y funcionar de manera normal.
En un ataque de denegación de servicios, se utilizan los dispositivos para saturar algún servicio en internet al mandar un número mayor de solicitudes superior a su capacidad de procesamiento.
Por lo tanto, debido a su capacidad limitada de aceptar solicitudes, el sistema colapsa y deja de ofrecer el servicio ocasionando que otras fuentes legítimas no puedan adquirirlo.
“Imaginemos el sitio Web de un banco. Los atacantes realizan una cantidad de peticiones al servidor, de tal forma que queda fuera de línea debido a que es incapaz de atender todas las solicitudes. Si un cliente de ese banco desea hacer una transacción desde Internet en su cuenta, no podrá realizarla. Por ello se le denomina denegación, ya que se le impide el uso de los recursos a un usuario legítimo”, explicó a eSemanal Miguel Ángel Mendoza, ESET Security Researcher.
Es importante recalcar que hay dos tipos de ataques: uno es el ataque de Denegación de Servicio (Dos) y otro el ataque de Denegación de Servicio Distribuido (DDoS), los cuales se diferencian por el alcance que tienen.
El ataque de Denegación de Servicios Distribuido por sus siglas en inglés (Distributed Denial of Service) se trata de una ampliación del ataque DoS, ya que se lleva a cabo generando un gran flujo de información desde varios puntos de internet, por lo general a través de lo que se conoce como botnet.
“Las botnets son un tipo de código malicioso (el término resulta de la combinación de las palabras robot y network), generalmente utilizadas en los ataques DoS y DDoS. Se trata de un grupo de equipos infectados por códigos maliciosos (bots), que se comunican con un servidor de comando y control (C&C), desde el cual reciben instrucciones y son controlados por un atacante”, detalló el especialista de ESET.
Explicó que el atacante dispone de sus recursos para que el equipo controlador y los infectados por códigos maliciosos trabajen de forma conjunta y distribuida. “Cada sistema infectado interpreta y ejecuta las órdenes enviadas y ofrece a los delincuentes una fuente importante de recursos que pueden trabajar de manera conjunta y distribuida. Generalmente, los botnets se utilizan para el envío de spam (correo masivo y no deseado), la distribución de malware, la minería de criptomonedas, el alojamiento de material ilegal o, como ya se mencionó, para la realización ataques de denegación de servicio distribuido”, dijo.
Las botnet han sido identificadas desde hace algunos años, afectando principalmente computadoras tradicionales, y, en los últimos años, dispositivos móviles.
“Incluso este ataque de denegación de servicios lo hacen incluso comprando una tarjeta de crédito por internet y hacerlo por unas cuantas decenas de dólares”, informó Claudio García Gay.
IoT se suma a los ataques
Tanto Miguel Ángel Mendoza como Claudio García Gay coincidieron en que el incremento de dispositivos conectados a internet a través de sensores para llevar a cabo una actividad, también conocidos con el término internet de las cosas han agravado y potenciado los ataques de esta naturaleza.
Esta situación puede ser una ventana de oportunidad para los canales de distribución, quienes son las figuras que proveen de soluciones a los usuarios en este tipo de amenazas.
Según García Gay, lo primero es informarse para poder informar adecuadamente y aprovechar toda la información que actualmente ya es pública.
A este respecto, se suma la vulnerabilidad de los usuarios frente al IoT, ya que, pese a todas las medidas de seguridad que pueda tomar éste, muchas veces no son suficientes, sobre todo contra aquellas que no tienen control.
Mendoza expuso que a finales de 2016 se presentaron ataques masivos a dispositivos del IoT debido a la cantidad de dispositivos digitales desprotegidos y conectados a Internet, tales como routers domésticos y cámaras de vigilancia.
“Los atacantes infectaron a miles de estos dispositivos con un código malicioso para formar una botnet llamada Mirai; la red de dispositivos infectados que fueron utilizados para llevar a cabo ataques DoS. Y aunque no se trató de medio sofisticado de ataque, su impacto radicó en la cantidad de dispositivos comprometidos, quienes recibieron instrucciones maliciosas para realizar peticiones a servidores y sitios Web de diversas empresas, logrando desbordarlos y dejarlos fuera de línea debido a la cantidad de solicitudes recibidas de manera simultánea”, informó.
También instruyó que en 2019, esta botnet reapareció con nuevas características, utilizando herramientas para explotar vulnerabilidades en dispositivos del Internet de las Cosas, pero ya no solo en electrodomésticos, sino también en dispositivos IoT que pueden ser encontrados en las empresas, como routers, cámaras o televisores inteligentes.
Un estudio realizado entre la Universidad de Stanford y la empresa checa de ciberseguridad Avast, analizó 83 millones de dispositivos en 16 millones de hogares. Los resultados fueron interesantes.
Si bien el informe se enfocó en los dispositivos de IoT, en las estadísticas fueron considerados 18.1 millones de dispositivos de red (routers), 24.4 millones de computadoras, 23.3 millones de teléfonos inteligentes (smartphones) y 9.5 dispositivos IoT.
En México, Avast analizó 2.5 millones de dispositivos en 390 000 hogares y descubrió que 47% de ellos tenía al menos un dispositivo conectado a internet que era vulnerable a un ataque; por ejemplo, en un tercio de los hogares en los que la compañía descubrió que había un dispositivo vulnerable, también detectó que dicho dispositivo era el router; es decir, el aparato que es la fuente de la conexión a internet en el hogar.
En México, la penetración de dispositivos IoT ha sido moderada. Según el estudio, se identificó que sólo el 9.9% representaba aparatos conectados a internet. Mientras que en países más desarrollados como Estados Unidos, esta cifra en los hogares ya representa casi el 30%.
La mayoría de los dispositivos analizados en el país fueron dispositivos de medios, como el agregador de canales Roku; herramientas de trabajo como impresoras, escáneres; consolas de videojuegos y aparatos de vigilancia como cámaras IP.
Estos dispositivos pueden representar el caballo de Troya dentro de los hogares mexicanos, ya que el principal problema de estos aparatos conectados a internet es que en su mayoría no tienen un sistema de seguridad exclusivamente para protegerlos. Esto provoca que se abran brechas de seguridad que son aprovechas por cibercriminales u otro grupo de interesados para obtener información u ocasionar algún daño en los dispositivos.
De acuerdo con el estudio de Avast, a pesar de que se analizó un número importante de dispositivos (14 000), 90% de estos fueron elaborados por sólo 100 fabricantes diferentes.
Por ejemplo, en la región de Norteamérica, en el caso de los dispositivos de medios, las marcas más usadas son Roku (17%), Amazon (10%), Samsung (9%), Apple (5%) y Google (5%).
En el caso de las consolas de videojuegos, las que predominan son de la compañía Microsoft (39%), Nintendo (19%), Azurewave (11%), Sony (9%) y Honhai (8%).
Recomendaciones para contener un ataque DDoS:
Miguel Ángel Mendoza expuso que una forma de contrarrestar los ataques de Denegación de Servicio es a partir de la configuración de los equipos de red.
Por ejemplo, la adecuación de los parámetros utilizados en los routers y firewalls para detener direcciones IP no válidas, así como el filtrado de protocolos que no sean necesarios, ya que algunos firewalls y routers proveen la opción de prevenir inundaciones (floods) en los protocolos TCP/UDP.
Además, es aconsejable habilitar la opción de logging (logs) para llevar un control adecuado de las conexiones que existen en dichos dispositivos.
Otra forma es la configuración adecuada y actualización de firmas en soluciones de seguridad IDS/IPS (Intrusión Detection/Prevention Systems), que identifican el uso inadecuado de protocolos válidos como posibles vectores de ataque, contribuye a mitigar los ataques DoS.
Cabe destacar que es de suma importancia analizar los casos de falsos positivos para llevar a cabo una posible reconfiguración de este tipo de herramientas.
Además, es posible configurar los dispositivos de red para limitar la tasa de tráfico proveniente de un único equipo; limitar el número de conexiones concurrentes a los servidores; restringir el uso del ancho de banda por aquellos hosts que cometan violaciones; realizar monitoreo de las conexiones TCP/UDP que se llevan a cabo en el servidor, para identificar patrones de ataque.
Otra alternativa consiste en la colaboración con los Proveedores de Servicios de Internet (ISP), para bloquear el tráfico más cercano a su origen sin necesidad de que alcance a la organización, o, en caso de contar con los recursos, utilizar servidores alternos que permitan mantener los servicios operando en caso de contingencia. Sin duda, este tipo de medidas dependen de la criticidad de los recursos que quieran protegerse.
De manera general, es necesario contar con un plan de respuesta a incidentes, defina de manera precisa, todas las actividades a realizar en caso de que se presente alguna eventualidad, como un ataque.
Oportunidad
Frente a los retos anteriormente expuestos y que son latentes para el canal de distribución como la desinformación, la cura perfecta y que le puede generar una ventaja competitiva en el mercado es explicar en qué consiste este ataque y ofrecer una solución cada vez más integral.
“Los ataques requieren soluciones específicas de DDoS. El reto es que los clientes desconocen qué es, las consecuencias que puede tener y cómo protegerse de él. Hay mucha desinformación e ignorancia sobre el tema, pero evidentemente sale en las noticias que hay más ataques y es más peligroso, es algo que se tiene que voltear a ver”, dijo García Gay.
En este sentido, detalló que el área de oportunidad para el canal es muy grande porque hay muchos vendors de seguridad que no protegen contra DDoS y el desconocimiento sobre el tema puede ser explotado.
La recomendación es que deben tener expertise en seguridad. Eso es lo primero. Después que se acerquen a una marca como A10 que tiene una gama de soluciones para DDoS que cubre tanto a enterprise como a service provider y que está reconocida por la industria para proteger la diversidad de ataques”, expuso.
Reconoció que es de vital importancia tener una solución que realmente cubra distintos escenarios, diferentes antropologías, arquitecturas, presupuestos, etcétera.
A10 Networks
Claudio García Gay, country manager en México
La compañía ha trabajado de la mano con grandes empresas incluidas Microsoft para desarrollar una solución de DDoS que cubra necesidades reales de esos sectores, tanto para enterprise, service provider y data center, porque los ataques son cada vez más grandes, más sofisticados y difíciles de detectar. Dicha solución ya cuenta con varios reconocimientos de terceros.
“Básicamente podemos detectar una gama muy amplia de ataques, mitigar a gran velocidad grandes capacidades y adaptarnos a diferentes escenarios, porque muchas soluciones de DDoS están enfocadas en service provider y no en enterprise”, dijo. La solución es flexible en el sentido de que puede adaptarse en diferentes arquitecturas, según la necesidad del cliente.
Es competitivo en precio, detección y mitigación automática y esto tiene mucho reconocimiento.
Forcepoint
Enrique León Romero,
Gerente de Canales para México y Centroamérica.
La oferta de la marca para el canal de distribución está enfocada totalmente a ciberseguridad y, en especial, al factor humano o usuario. Su propuesta está segmentada en tres principales categorías: Adopción segura de la nube y protección de los usuarios en la red; Protección de datos críticos y propiedad intelectual y Protección de la fuerza de trabajo y cadena de suministro.
Forcepoint cuenta con un programa de canales que se divide en tres niveles: Bronce, Oro y Platino. En cada uno existe una serie de requisitos y beneficios como descuentos por pertenecer al programa global de canales; por otro lado, también dispone de un programa por registro de oportunidades, donde los canales obtienen incentivos económicos; posibilidad de ventas cruzadas; y un programa atractivo es para vender un proyecto multianual que se paga anualmente; otro programa da la posibilidad de revender las soluciones de la marca de next generation firewall, next generation IPS, SDWAN, cloud email y cloud web en modalidad de servicio con facturación mensual. También anunció que están por lanzar un programa de Canales Acreditados de Servicio donde los socios más especializados en sus soluciones brindan servicios de implementación a nombre de Forcepoint; donde todos estas características del programa lo que buscan es darle al canal la posibilidad de generar una mayor utilidad. Por otro lado, tienen cobertura para México y Centroamérica con especialización comercial en sectores en Ciudad de México y en las principales regiones del país; norte, centro, bajío, y sureste.
“Los canales pueden acceder a múltiples apoyos como licenciamiento not for resale gratuito, acceso a nuestra plataforma Go4Labs para hacer laboratorios y demos con prospectos, fondos de marketing para el desarrollo de iniciativas de generación de demanda, capacitación para ventas y preventa gratuita, y el acompañamiento a cuentas del canal con el equipo comercial y técnico de Forcepoint para buscar oportunidades en conjunto”, dijo el directivo.
La marca dispone de una serie de productos que van desde la prevención de fuga de datos, seguridad para el correo electrónico, seguridad para la navegación web, sandboxing, next generation firewall, next generation IPS hasta soluciones avanzadas de seguridad como SDWAN, analíticos de comportamiento para medir el nivel de riesgo de los usuarios en la organización (Insider Threat, Behavior Analytics), CASB para el acceso y protección de la información de las aplicaciones cloud, infraestructura crítica e integración con OT (Operational Technology).
Westcon y Forcepoint
Ambas compañías han sido aliados comerciales desde hace varios años y las principales fortalezas de dicha alianza es la cobertura regional en Latinoamérica con la que cuenta el mayorista, así como los recursos de apoyo al canal como un producto manager, ingeniería de preventa, account manager para atención al canal, servicios profesionales, etcétera.
Westcon es actualmente el único centro autorizado de entrenamiento ATC de Forcepoint para brindar entrenamiento especializado de Administrador en las soluciones de DLP, Web, Email y NGFW.
La marca trabaja de manera conjunta para hacer planes de atracción, reclutamiento, capacitación, desarrollo de los canales y generación de demanda con acciones muy puntuales que van de acuerdo a los objetivos comerciales trazados en común.
