'Muchos hackers utilizan ataques DDoS para ocultar un objetivo más dañino' (F5 Networks)

El ataque de denegación de servicio distribuido es una de las actividades delictivas más antiguas de la web. A pesar de su edad, sin embargo, los ataques DDoS han resistido los años sorprendentemente bien. La razón de esto es bastante simple: aunque en su núcleo, cada ataque DDoS hace lo mismo, han evolucionado significativamente en las últimas décadas

Esta entrevista forma parte del reportaje DDoS, del pánico al reto, tema de portada del número de Diciembre de la revista IT Digital Security, disponible desde este enlace.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Hablamos con Álex López de Atxer, director de F5 Networks sobre los retos de los ataques de denegación de servicio distribuido, el impacto del Internet de las Cosas, tipo de ataques o cómo evitarlos.

¿Cuáles son los retos con respecto a los actuales ataques DDoS?

El primero es afrontar su crecimiento. El Centro de Operaciones de Seguridad (SOC) de F5, situado en Varsovia, muestra que los ataques DDoS dirigidos a organizaciones europeas están creciendo exponencialmente. Así se afirma también en un reciente informe de Akamai, en el que se dice que durante el segundo trimestre de 2017 los ataques DDoS se incrementaron en un 28%.

En segundo lugar, se está poniendo también de manifiesto la creciente capacidad de los ciberdelincuentes a la hora de coordinar recursos en todo el planeta con el fin de lograr el máximo impacto con sus ataques.

Finalmente, estos ataques ya no se centran solamente en bloquear la prestación del servicio online de una organización a sus clientes. En la actualidad, muchos hackers utilizan ataques DDoS como pantalla de humo para ocultar un objetivo más dañino, que tiene que ver con comprometer los datos confidenciales de la empresa.

Si tenemos en cuenta que para un hacker puede resultar bastante sencillo desde el punto de vista técnico lanzar un ataque DDoS, es posible que en estos momentos las organizaciones sean más vulnerables que nunca. Por ello, resulta esencial que se conciencien para poder abordar su seguridad de forma integral y trabajen para entender cuáles son las amenazas que es necesario afrontar con mayor urgencia. La parte positiva es que las herramientas necesarias para protegerse adecuadamente, tanto on-premise como en la nube, ya están disponibles, por lo que con independencia del tamaño o actividad de la empresa es posible protegerse adecuadamente.

¿Qué impacto está teniendo el uso de IoT en los ataques de DDoS?

Un impacto muy alto. Los dispositivos IoT resultan muy atractivos para los ciberdelincuentes que preparan ataques tipo DDoS, ya que les agilizan el trabajo sin costes extra y además son muy fáciles de controlar al presentar, en su mayor parte, unos estándares de seguridad deficientes. Hay que tener en cuenta que la mayoría de ellos se comercializa con contraseñas predeterminadas que normalmente nunca se cambian o que, en algunos casos, es imposible cambiar, por lo que para los hackers no resulta complicado introducirse en los sistemas de gestión remota de estos dispositivos –Sistemas Telnet o SSH- e identificar las contraseñas predeterminadas por el fabricante, logrando hacerse con el control de los mismos.

Por ello, los fabricantes de estos productos deben mejorar la seguridad de sus dispositivos a la hora de desarrollarlos y los consumidores deben aprender a mantener su seguridad a la hora de adquirirlos. Los gobiernos también deben tomar cartas en el asunto, legislando para lograr una IoT más segura. No obstante, mientras todo eso sucede, cualquier empresa puede ver cómo su negocio corre peligro por un ataque de este tipo, por lo que es necesario que definan sus estrategias de mitigación de ataques DDoS, a fin de estar preparadas ante cualquier incidencia que puede ocurrir de forma inminente.

¿Cómo se mide el coste de un ataque de DDoS?

Básicamente hay dos parámetros a tener en cuenta. El primero es el de reputación. No ser capaz de detectar y mitigar un ataque DDoS puede dañar la relación que mantiene una empresa con sus clientes, que pueden percibir en el ataque un signo de debilidad o de desidia. El segundo parámetro es el económico, y aquí habrá que calcular el coste de haber dejado de prestar servicio durante un tiempo determinado.

Capítulo aparte es el coste que supone disponer de una infraestructura tecnológica capaz de resistir estos ataques, no solo con más soluciones de seguridad, servidores, ancho de banda, etc. sino también la disponibilidad de personal especializado y proveedores externos que trabajen para mantener la seguridad o para resolver una incidencia.

¿Cómo se puede evitar un ataque de DDoS?

En primer lugar, sería necesario utilizar tecnologías anti-DDoS basadas tanto en la nube como on-premise, lo que asegurará la protección contra los elementos de un ataque combinado dirigido tanto a la capa de aplicación como a los lanzados desde fuera de la infraestructura, eliminando el tráfico malicioso antes de que llegue a la red. Solo un enfoque híbrido puede brindar a las organizaciones la flexibilidad necesaria para protegerse contra la amplia gama de armas existentes y a disposición de los hackers.

En segundo lugar, hay que asegurarse de que el proveedor de Internet analiza de forma constante el tráfico de la red e incorpora mejoras de forma continua en sus procesos de análisis.

Finalmente, contar con la ayuda de un experto también resulta recomendable, con el fin de estar al tanto de las técnicas más recientes. En muchas ocasiones, solo los expertos van a ser capaces de identificar los ataques DDoS y de evitar sus consecuencias.

Con todo ello, basándose en la tecnología y en el conocimiento adecuados habrá que definir una estrategia de mitigación de ataques DDoS que permita estar convenientemente preparados para cualquier riesgo.

¿Cuáles son los diferentes tipos de ataques DDoS que hay?

Existe una gran variedad de este tipo de ataques. Según nuestro SOC de Varsovia, las fragmentaciones del protocolo de usuario (UDP) fueron el tipo de ataque DDoS más común durante el pasado año (23% del total), seguido de DNS Reflections e inundaciones UDP (15%), inundaciones Syn (13%) y NTP Reflections (8%).

Los responsables de seguridad de cerca de 300 compañías europeas a los que F5 encuestó hace unos meses afirman que los Blended DDoS son actualmente la mayor amenaza (26%), seguidos por los ataques a nivel de aplicación (25%), ataques volumétricos (19%) y ataques de extorsión (15%).

¿Cree que la empresa española se toma en serio el riesgo que supone sufrir un ataque DDoS?

F5 publicó hace unos meses los resultados de una encuesta a cerca de 300 responsables de seguridad europeos. La conclusión principal, perfectamente extrapolable al mercado español, fue que a pesar de que el 35% de los encuestados afirmaron haber sufrido o tener la sospecha de haber sufrido un ataque DDoS, en más de un tercio de las organizaciones aún no se ha desarrollado un plan de respuesta frente a ciberataques. Teniendo en cuenta que no hay semana en la que no se produzca un ataque o un robo de datos, esta situación resulta altamente preocupante.

En lo que se refiere a ataques de denegación de servicio, ¿lo peor está por llegar?

2017 está siendo un año complicado en este sentido. Estamos detectando un fuerte incremento en los ataques tipo DDoS y creemos que esta tendencia, empujada por la proliferación de dispositivos IoT, va a continuar. Asimismo, creemos que los ataques DDoS van a seguir evolucionando e incrementando su complejidad. Por ello, las organizaciones de todo tipo y tamaño tendrán ante sí el reto de garantizar que sus aplicaciones críticas y sus redes permanecen protegidas y disponibles bajo las condiciones más exigentes con independencia del volumen, el tipo o la fuente del ataque DDoS.