La perspectiva de Cyber Academy
DDoS es el ataque que inunda un servicio desde múltiples fuentes para agotar su capacidad. Puede ser volumétrico, de protocolo o de capa de aplicación. La mitigación se ha convertido en un commodity (Cloudflare, Akamai, AWS Shield). La pregunta de riesgo ya no es «¿podemos bloquearlo?», sino «¿están los servicios críticos enrutados a través de la protección, incluidos los de API que nunca aparecen en los dashboards?».
Lo que realmente hace un ataque de denegación de servicio distribuido
Un ataque de denegación de servicio tiene un único objetivo: dejar un servicio indisponible para quienes dependen de él. La versión distribuida, el DDoS, lo logra generando el tráfico desde muchas máquinas a la vez, a menudo una botnet de dispositivos comprometidos, servidores secuestrados o infraestructura de ataque alquilada. Como la carga llega desde miles de direcciones distintas, no se puede simplemente bloquear a un único infractor, y es la enorme cantidad de fuentes lo que permite al atacante saturar una capacidad que una sola máquina nunca podría alcanzar. El objetivo no necesita ser vulnerado ni sufrir un robo de datos. Solo necesita quedar fuera de línea, lo que convierte al DDoS en un ataque contra la disponibilidad y no contra la confidencialidad o la integridad.
Los profesionales suelen clasificar el DDoS en tres capas, porque la capa dicta la defensa. Los ataques volumétricos intentan saturar el ancho de banda del propio enlace, recurriendo con frecuencia a la amplificación, donde una pequeña solicitud falsificada desencadena una respuesta de gran tamaño dirigida a la víctima. Los ataques de protocolo agotan el estado en los equipos de red y los servidores, por ejemplo dejando conexiones medio abiertas que nunca se completan. Los ataques a la capa de aplicación son los más silenciosos: envían solicitudes que parecen legítimas, como llamadas repetidas a un punto de acceso de búsqueda o a una página de inicio de sesión, y agotan la aplicación en lugar del canal. Esta última categoría es la más difícil de separar de los usuarios reales.
Por qué la mitigación ya no es la parte difícil
Detener el tráfico DDoS se ha convertido en un servicio común. Grandes proveedores como Cloudflare, Akamai y AWS Shield absorben los ataques en el borde de redes enormes, encajando las avalanchas volumétricas muy por encima del cliente y filtrando los abusos de protocolo y de aplicación mediante depuración del tráfico y limitación de tasa. Para la mayoría de las organizaciones, la pregunta técnica de si un ataque puede bloquearse tiene un sí seguro, siempre que el tráfico se enrute a través de esa protección. La pregunta más difícil, y la que debería plantear una función de riesgos, es de cobertura más que de capacidad.
La brecha que duele es el activo que nadie enrutó a través del escudo. Un sitio de marketing público está detrás de la CDN, pero la API que llama la aplicación móvil, la dirección IP de origen heredada que nunca se desmanteló, el punto de acceso de integración con un socio o el servicio regional levantado por otro equipo pueden resolver directamente al origen, eludiendo por completo la protección. Los atacantes encuentran esas rutas directas y apuntan ahí. Una defensa DDoS eficaz es, por tanto, ante todo un problema de inventario y enrutamiento: conocer cada servicio expuesto a internet, confirmar que cada uno está realmente detrás de la mitigación y demostrar que no se puede llegar al origen rodeándola.
Dónde encaja el DDoS en la continuidad y las normas
Como el DDoS ataca la disponibilidad, pertenece a la misma conversación que la gestión de la continuidad del negocio. Un sistema de gestión de la seguridad de la información alineado con ISO/IEC 27001 trata la disponibilidad como una de las tres propiedades que protege, y un escenario de denegación de servicio es una entrada de manual para un análisis de impacto en el negocio: cuánto tiempo puede estar caído cada servicio, qué depende de él y cuál es la alternativa. La respuesta rara vez es un único control. Combina mitigación en sentido ascendente, un manual de respuesta a incidentes con contactos nombrados en el proveedor de mitigación y disposiciones de continuidad para el periodo en que se absorbe un ataque.
Lo que los profesionales hacen realmente, más allá de comprar mitigación, es ensayar y verificar. Mantienen un inventario preciso de los servicios expuestos a internet, confirman que cada uno está detrás de la protección y comprueban que no se puede llegar al origen de forma directa. Ajustan los límites de tasa y las páginas de desafío para los abusos de la capa de aplicación, ya que esos ataques imitan el tráfico real y no pueden resolverse solo con ancho de banda. Redactan la ruta de escalado antes de un incidente, de modo que durante una avalancha nadie ande buscando el número de teléfono correcto. Y tratan un evento DDoS como un ejercicio de continuidad, con umbrales claros para activar el plan, comunicarse con los clientes y restablecer los servicios una vez que el tráfico amaina.
Frequently asked questions
01¿Cuál es la diferencia entre DoS y DDoS?
Un ataque de denegación de servicio proviene de una sola fuente, mientras que una denegación de servicio distribuida utiliza muchas fuentes a la vez, normalmente una botnet. La distribución es lo que hace eficaz al DDoS: no se puede bloquear a un único infractor, y el tráfico combinado puede agotar una capacidad que ninguna máquina por sí sola podría alcanzar.
02¿Cuáles son los tres tipos de ataque DDoS?
Los ataques volumétricos saturan el ancho de banda del enlace, a menudo mediante amplificación. Los ataques de protocolo agotan el estado en los dispositivos de red y los servidores, como las conexiones medio abiertas. Los ataques a la capa de aplicación envían solicitudes que parecen legítimas para agotar la propia aplicación, lo que los hace los más difíciles de filtrar.
03¿Todavía se pueden detener los ataques DDoS?
Para el tráfico enrutado a través de una mitigación moderna, casi siempre. Proveedores como Cloudflare, Akamai y AWS Shield absorben las avalanchas en sentido ascendente. El riesgo real es de cobertura: un activo como una dirección IP de origen directa o una API desprotegida que resuelve rodeando el escudo y nunca recibe la protección.
04¿Por qué el DDoS es una preocupación de continuidad del negocio?
El DDoS ataca la disponibilidad, por lo que alimenta directamente la gestión de la continuidad del negocio y el análisis de impacto en el negocio. La pregunta es cuánto tiempo puede estar caído cada servicio y cuál es la alternativa, razón por la cual la mitigación debe ir acompañada de un manual de respuesta a incidentes y disposiciones de continuidad.
05¿Un DDoS significa que mis datos fueron vulnerados?
No por sí mismo. El DDoS es un ataque contra la disponibilidad cuyo objetivo es dejar un servicio fuera de línea, no robar ni alterar datos. A veces se usa como distracción durante otra intrusión, así que una avalancha debería igualmente activar una vigilancia reforzada de otros sistemas.