Ataques DDoS

Una de las noticias más relevantes de seguridad de la información de los últimos días trata sobre el anuncio del grupo de expertos informáticos IHTeam sobre la posibilidad de realizar ataques de denegación de servicio distribuido o DDoS aprovechando la infraestructura de servidores de Google+. Para ello, utilizan dos URL para acceder a los servidores de esta red social y utilizarlos como Proxy para descargar ficheros de servidores atacados. La importancia de este ataque radica en que al utilizar el gran ancho de banda de Google, se intensifican los efectos del DDoS.

Por si alguno de nuestros lectores no conoce este ataque, en nuestra enciclopedia jurídica lo recogemos como el conjunto de técnicas que tienen por objetivo dejar un servidor inoperativo, hablando en términos de seguridad informática.

Es decir, los ciberatacantes realizan de forma coordinada entre varios equipos peticiones masivas a un servidor concreto, por ejemplo accediendo a la página web y descargando archivos, realizado visitas, etc. Así consiguen saturar dicho servidor y provocar su colapso, al no poder este responder tal flujo de peticiones. La consecuencia inmediata es que se impide a los usuarios legítimos utilizar los servicios prestados por él.

Además, los equipos utilizados para lanzar el DDoS suelen formar parte de una botnet, o red de ordenadores zombis, en la que el ciberatacante controla de forma remota estos equipos mediante programas maliciosos, sin que los propietarios sean conscientes de ello. La complejidad para eliminar estos ataques es muy alta, ya que proceden de numerosos equipos.

Este tipo de ataques ya fue señalado como una de las tendencias de 2011 y desde entonces ha protagonizado numerosos incidentes de seguridad, que han afectado no solo a la prestación de servicios de Internet de diversas organizaciones, sino también a la reputación de las mismas.

En el caso que destacamos al comienzo del artículo, el descubrimiento del grupo de expertos pone de manifiesto la posibilidad de atacar a cualquier entidad, incluido el mayor buscador web del mundo, Google. Con un script como el que publican en la página, se pueden realizar peticiones paralelas al servidor de destino, a la vez que se multiplica la capacidad de ancho de banda de la máquina del atacante (en la prueba realizada, dicha capacidad es 16 veces superior a la original). Todo ello, siendo Google el supuesto autor de las peticiones masivas (los logs que aparecen en la máquina de destino son las direcciones IP de las máquinas del buscador), lo que puede acarrearle mala imagen de empresa y de sus servicios, resultados inferiores a los esperados con su nueva red social (Google+), reclamaciones de propietarios de las páginas web saturadas y de los clientes de las mismas, falta de confianza en la seguridad del buscador, etc.

Aunque no existe una receta para evitar estos ataques, recomendamos adoptar medidas técnicas de protección en el ámbito de los Sistemas de Gestión de la Seguridad de la Información (SGSI) para reforzar la seguridad de los sitios web y los servidores y promover, en definitiva, la continuidad del negocio.

Fuente: Inteco-cert