¿Qué es un ataque DDoS y cómo funciona?

En el mundo actual existe algo llamado “guerra informática”, “guerra digital” o “ciberguerra”, que consiste en atacar los sistemas de información del enemigo y proteger el propio. Estas ciberguerras usan otros tipos de herramientas para defenderse, muy diferentes a las armas de fuego convencionales. Los métodos de ataque son variados, como por el ejemplo el sabotaje de computadoras y satélites, y los DoS o DDoS, dependiendo del caso.

Pero no sólo en la guerra digital se usan este tipo de ataques. Sea por el motivo que sea, político, económico, o simple vendetta personal, un ataque DDoS puede ser dirigido a cualquier tipo de host conectado a Internet. Ya sean los sistemas de un gobierno, los de una empresa, una plataforma de videojuegos, o hasta un simple blog.

¿Qué es DDoS?

DDoS significa “Distributed Denial of Service” en inglés, y traducido al español se conoce como “ataque distribuido de denegación de servicios”. Este tipo de ataque consiste en un grupo de sistemas comprometidos (también conocidos como “ordenadores zombie”) que atacan a un solo objetivo para causar una denegación de servicios a los usuarios que sí son legítimos.

Se crea un enorme flujo de mensajes y solicitudes que se lanzan al objetivo para que este se sobrecargue y sea forzado a cerrase; como resultado, se le niega el servicio a los verdaderos usuarios.

Una forma típica de lograr un ataque DDoS es que el agresor explote alguna vulnerabilidad en un sistema computarizado y lo convierta en su “botmaster”. Luego este botmaster identifica otros sistemas vulnerables y los infecta con malware para que se conviertan en ordenadores zombies. Cuando se controlan suficientes (lo que se llamaría botnet o ejército zombie), se les mandan instrucciones para que lancen un ataque a un objetivo específico.

La diferencia entre DoS y DDoS

Existe una diferencia entre DoS y DDoS. El primero es simplemente un ataque de negación de servicios y el segundo es un ataque distribuido de negación de servicios.

Los ataques DoS sólo necesitan un ordenador y una conexión a Internet para abrumar el ancho de banda y recursos de un objetivo. Por otra parte, el ataque DDoS usa muchos dispositivos y varias conexiones de Internet que suelen estar distribuidas por todo el mundo. Por supuesto, ya que el ataque viene desde distintas direcciones es casi imposible de desviar porque no se estará tratando con un solo atacante.

Tipos de ataques DDoS

Basados en volumen: en este caso la finalidad del ataque es saturar el ancho de banda de un sitio web que sea el objetivo. La idea es causar congestión.

Ataques de protocolo: este tipo de ataque consume recursos del servidor o algún servicio que funcione de intermediario, como un firewall o el balance de carga. Este ataque puede derribar hasta servicios que son capaces de mantener millones de conexiones activas de forma estable.

Ataques de capa de aplicación: en este se usan peticiones que están disfrazadas como usuarios legítimos o inocentes pero con la finalidad de lograr que el servidor web deje de funcionar.

Los ataques DDoS más importantes

El ataque de MafiaBoy. El 7 de Febrero de 2000, un chico de Canadá llamado Michael Demon Calce, mejor conocido en Internet como MafiaBoy, lanzó un ataque DDoS contra Yahoo! que hizo que el sitio dejara de funcionar durante una hora entera. Hay que recordar que en esa época Yahoo! era una empresa multimillonaria y el primer buscador en la web. Según algunas entrevistas dadas por el atacante, el fin de este ataque era obtener credibilidad en Internet para él y para su grupo de ciberamigos llamado TNT. MafiaBoy continuó con los ataques la semana siguiente, deteniendo completamente los servidores de eBay, CNN, Amazon y Dell.com.

Ciberataques de julio de 2009. Estos ataques DDoS afectaron sitios web de noticias, finanzas y de los gobiernos tanto de Estados Unidos como de Corea del Sur. Según las estimaciones de varias empresas de seguridad, se creó un ejército de alrededor de 50.000 ordenadores zombies ubicados en Corea del Sur. Hubo tres ataques consecutivos: uno el 4 de julio, día de Independencia en Estados Unidos, donde se vieron afectadas las páginas de la Casa Blanca y el Pentágono; otro el 7 de julio, el cual afectó únicamente a sitios gubernamentales de Corea del Sur; y finalmente el 9 de julio, donde se vieron afectados sitios web de ambos países. Hasta ahora nadie sabe quién o quiénes fueron los atacantes.