La cortina de humo del DDoS: por qué restaurar el tiempo de actividad podría ser tu primer error.

En una noche del pasado noviembre, los gráficos de tráfico de la empresa de apuestas deportivas 1win experimentaron un aumento repentino. Horas después, las líneas se estabilizaron, las luces LED se encendieron en verde y el sistema cerró boletos. Sin embargo, la sorpresa se reveló más tarde: mientras terabits de datos inundaban el perímetro de protección, un atacante logró sustraer 96 millones de registros de clientes. El ruido ocasionado por el ataque fue tan intenso que nadie prestó atención al momento en que se abrió la puerta del recinto.

El responsable de esta brecha de seguridad fueron los ataques de Denegación de Servicio Distribuida (DDoS). Lo que antes era considerado un acto de vandalismo digital ha evolucionado hacia una táctica de distracción, ocupando recursos de consola y ciclos de CPU, mientras que la verdadera intrusión se lleva a cabo en otro lugar. Los ataques DDoS se han vuelto cada vez más comunes, con operadores que solían registrar dos incidentes diarios, ahora contando con cientos. El 44% de estos ataques finaliza en menos de cinco minutos, lo que deja poco tiempo para reaccionar ante el engaño.

La razón detrás del aumento de estos ataques radica en el costo accesible de suscripciones a servicios de DDoS por encargo, que son más baratos que una suscripción de Netflix. Además, botnets como Eleven11bot han utilizado cámaras web comprometidas para lanzar ataques DDoS récord, alcanzando picos de 6.5 Tb/s en febrero, superando en más de diez veces el récord anterior de Mirai establecido en 2016.

Los atacantes no llegan para causar caos físico; en cambio, crean distracción mientras roban información valiosa, introducen ransomware o instalan puertas traseras para futuros ataques. Muchas veces, los equipos de seguridad bajan la guardia una vez que los gráficos de latencia vuelven a la normalidad, sin darse cuenta de que están celebrando innecesariamente.

En un entorno de seguridad, la falla del sistema, llamada "fail-open", se produce cuando el sistema se satura de tráfico y no puede mantener las defensas, lo que permite que el tráfico malicioso fluya sin ser filtrado. Es vital recordar que esta situación no es ineludible, sino el resultado de decisiones de configuración y diseño.

Para contrarrestar estos ataques, se pueden implementar varias estrategias:

1. Establecer un perfil de comportamiento inusual: Detectar anomalías en el tráfico que podrían indicar una intención maliciosa, como cámaras que normalmente no envían mucho tráfico saturando un servidor DNS.

2. Automatizar respuestas rápidas: Dado que los ataques pueden ser tan veloces, es crucial emplear tecnología que responda automáticamente al tráfico malicioso antes de que sea evidente para el humano.

3. Incorporar capas de protección adyacentes: Implementar un sistema independiente que pueda manejar el tráfico antes de que alcance los firewalls, evitando que se saturen en el proceso.

4. Revisar configuraciones de seguridad: Es esencial hacer un inventario de cómo los dispositivos manejan situaciones de fallos y asegurarse de que no se configuren para permitir el paso de tráfico sin autorización.

Los ataques DDoS pueden deslumbrar, pero el verdadero objetivo es el robo de información de valor. Mantener la vigilancia y estar preparado puede marcar la diferencia en la defensa frente a estas amenazas.