Causa y Efecto: Anatomía de un ataque de DDoS

Updated: May 13, 2019

Este fin de semana pasado se identificó un ataque de denegación de servicio distribuido, DDoS por sus siglas en inglés, en contra de la infraestructura gestionada de DNS de Dyn. Esto a su vez impacto empresas reconocidas como lo son Netflix, Twitter, Spotify, Reddit entre otras.


A través de los días un sin número de preguntas han surgido, y desafortunadamente no muchas respuestas han sido confirmadas.


Dentro de la seguridad de la información es importante tener en cuenta que es imposible prevenir todos los ataques, esto sería el equivalente a no tener RMAs en ninguna línea de producción o ningún “bug” dentro del desarrollo- es decir, una improbabilidad para no decir imposibilidad. El truco está en aprender de estas situaciones para poder mitigar el efecto o en algunos casos prevenir su recurrencia.


El eslabón más débil


El nivel de sofisticación de este ataque tiene que ser mencionado, ya que involucro más de decenas de millones de IPs. Se preguntarán cómo es posible que tantas IPs estuvieran involucradas, fácil, estas IPs en su mayoría pertenecían a dispositivos no seguros que cayeron presa al malware relacionado a dispositivos conectados Mirai conformando un botnet. Básicamente, una red de computadoras infectadas que pueden ser controladas por el atacante. (léase ejército de computadoras).


Esto trae consigo varios temas a relucir, conforme continuamos en este patrón de híper-conectividad debemos cuestionarnos si estamos preparados para sostenerlo sin convertirnos en presa fácil o en su caso si el famoso campo de IoT está desarrollándose con las medidas de seguridad necesarias.


Es inevitable el proceso de conexión, sin embargo, dentro de nuestras empresas es imperativo que contemplemos los dispositivos “conectados” como parte de nuestra red. Piénselo así – Si tiene IP puede ser hackeado.


¿Qué medidas puedes tomar?


En primera instancia cualquier dispositivo que sea conectado a su red deberá ser “endurecido”, es decir, asegurado. Esto es tan fácil como cambiar la contraseña que viene por default. Las contraseñas por default son extremadamente fáciles de encontrar en el Internet y son de uso común para muchos ataques.


Otras medidas que puede tomar es asegurarse que el acceso remoto de administrador de sus dispositivos no de frente al Internet, si dicho acceso es necesario utilice medios seguros como una VPN o limite conectividad a ciertas IPs.

Deshabilite protocoles inseguros para la administración remota como lo son FTP y telnet.


La Evolución de DDoS


Claro está que estamos en un ambiente de amenazas cambiante, en el pasado este tipo de ataques generalmente eran atribuidos hacktivistas, una forma de protesta o en algunos casos motivados por política e ideología. Desafortunadamente, este no parece ser el caso hoy en día.


El resurgimiento de este tipo de ataque trae consigo algo desconcertante, la extorsión cibernética. Cada vez es más común que atacantes efectúen un corto ataque de DDoS con una disrupción mínima (5min) seguido por una petición de pago para prevenir futuros ataques.


En cuanto si este ataque involucra los factores antes mencionados es un misterio, la motivación detrás del ataque aún no ha sido encontrada y debo admitir que es poco probable que sea comunicada. Lo que queda claro es la fragilidad de la infraestructura que nos rige.



Ante este nuevo cambio las empresas deberán de reconsiderar que tan preparados están para lidiar con la falla en la disponibilidad. Como lograr la inclusión de dispositivos inteligentes sin impactar su propia vulnerabilidad e implementar un sistema de respuesta.


Autor: Carolina Ruiz- Chief Executive Office Brier & Thorn México

20 views0 comments