¿Qué es un ataque DDoS?

DDoS son las siglas de Distributed Denial of Service. La traducción es “ataque distribuido denegación de servicio”, y traducido de nuevo significa que se ataca al servidor desde muchos ordenadores para que deje de funcionar.

Pero aun así esto no nos guía mucho sobre lo que es un DDoS. Para explicarlo voy a recurrir a una simple analogía en la que nuestro servidor es un auxiliar que atiende a personas en una ventanilla.

Nuestro auxiliar es muy eficiente y es capaz de atender a varias personas a la vez sin despeinarse: es su carga normal. Pero un día empiezan a llegar cientos de personas a la ventanilla a pedirle cosas a nuestro auxiliar. Y como cualquier humano normal, cuando hay mucha gente dándole la lata no puede atender a todos y empieza a atender más lento de lo normal. Si viene todavía más gente probablemente acabe hasta las narices, se marchará de la ventanilla y ya no atenderá a nadie más.

En el servidor pasa lo mismo: cuando hay demasiadas peticiones se queda sin recursos, se cuelga y deja de funcionar. Puede que se apague directamente o que sólo deje de responder conexiones. De cualquiera de las dos formas, el servidor no volverá a la normalidad hasta que el ataque pare, ya sea porque los atacantes han parado o porque se logrado bloquear las conexiones ilegítimas (veremos más adelante cómo), y se rearranque todo lo que haya dejado de funcionar.

Este es el concepto básico del DDoS, aunque se puede modificar para que sea más efectivo. Por ejemplo, se pueden enviar los datos muy lentamente haciendo que el servidor consuma más recursos por cada conexión (SLOWREAD es un ejemplo de ataque de este tipo), o alterar los paquetes para que el servidor se quede esperando indefinidamente una respuesta de una IP falsa (el nombre técnico es SYN flood)

¿Cómo se lleva a cabo un ataque DDoS?

Como el concepto básico del DDoS es simple, realizar los ataques es relativamente fácil. De hecho, valdría con que hubiese un número suficientemente grande de personas recargando la web continuamente para tirarla. Sin embargo, las herramientas que se suelen usar son algo más complejas.

Con ellas se pueden crear muchas conexiones simultáneas o enviar paquetes alterados con las técnicas que comentaba antes. También permiten modificar los paquetes poniendo como IP de origen una IP falsa, de forma que no pueden detectar quién es el atacante real.

Otra técnica para llevar a cabo los DDoS es usar botnest: redes de ordenadores infectados por un troyano y que un atacante puede controlar remotamente. De esta forma, los que saturan el servidor son ordenadores de gente que no sabe que están participando en un ataque DDoS, por lo que es más difícil encontrar al verdadero atacante.

¿Cómo afecta un DDoS a una web?

Depende del ataque y del servidor. Los servidores se pueden proteger contra estos ataques con filtros que rechacen los paquetes mal formados o modificados con IPs falsas, de forma que al servidor sólo le llegan los paquetes legítimos. Por supuesto, las medidas no son infalibles y el servidor siempre puede acabar saturado si el ataque es suficientemente masivo y está bien preparado.

Para que os hagáis una idea del volumen necesario para que un DDoS sea efectivo, abajo tenéis un gráfico que representa el tráfico de un servidor a lo largo del tiempo. El tráfico durante el ataque (en verde) es tan grande que apenas se aprecia el tráfico normal del servidor.

¿Y qué ocurre cuando el servidor se satura? Simplemente deja de estar disponible durante un tiempo hasta que el ataque para. Es muy difícil que se produzcan daños físicos en el servidor. Además, el DDoS por sí sólo no permite entrar en el servidor: para ello es necesario aprovechar alguna vulnerabilidad, y eso no es nada fácil.

Así que, básicamente, un DDoS sólo puede provocar la caída de la web, nada más. Dependiendo del tipo de web esto puede ser una catástrofe o no. Si la web genera dinero (venta online, publicidad), el propietario deja de ganar dinero mientras esa web está caída. Imaginaos las pérdidas que puede llegar a tener Amazon, por ejemplo, si su página está caída durante un día.

Pero, ¿qué pasa cuando la página es simplemente informativa, como pueden ser las de instituciones públicas? La verdad es que no pasa mucho. La institución no depende de la web para funcionar. En su lugar se suelen usar redes internas que no están accesibles desde Internet, sólo desde dentro de la propia institución, por lo que no se ven afectadas por el ataque. Lo único que ocurre es que el que quiera ver alguna información de esa página tendrá que esperarse un rato a que esté disponibl

¿QUE PASO?

 Hizo temblar Internet y, entre otros, tumbó el servicio de WhatsApp, Twitter, Spotify, etc. 

Aunque fue un ataque DDoS que afectó a los servidores DNS de la compañía DyDNS, el resultado es que muchos trataron conectarse a WhatsApp, Twitter, Spotify  y muchos otros servicios que ya llevamos y consumimos desde el móvil y no pudieron hacerlo.

Pasada ya la tormenta, hemos podido tener ingreso a un atrayente documento que está enviando Telefónica a sus enormes usuarios en el que explica pormenorizadamente todo lo que se sabe de Mirai, el programa informático que creó la botnet de cosas “Smart”, es decir, usó el Internet para terminar con uno de los DNS de Internet, además de otros detalles muy interesantes sobre el ataque DDoS .

Mirai, el malware que amenaza el IoT y a todo Internet(www) con más ataques DDoS

Mirai es un malware que escanea Internet para localizar aparatos conectados de Internet de las Cosas como podrían ser cámaras, neveras, televisores, etc., que suelen tener en muchos casos una contraseña por defecto del fabricante lo que los hace tremendamente vulnerables. Mirai efectua distintas ataques de fuerza bruta para romper la contraseña e infectar estos aparatos para unificarlos a su botnet, una red de aparatos zombies esperando la activación para el ataque.

Podríamos decir, “bueno, pues cambiamos la contraseña”, no obstante como nos señala Telefónica, Mirai se aprovecha de que estas passwords están “hardcodeadas en el firmware“, o lo que es lo mismo, vienen fijas por defecto. Una prueba elaborada por la operadora con el buscador Shodan localizó más de 500.000 aparatos vulnerables. 

El pasado 10 de octubre, el creador de Mirai liberó el código de su malware, admitiendo así que desarrolladores de todo el universo podrian inventar su propia red de botnets con versiones de este programa informático alcanzando, según las estimaciones señaladas por Telefónica, cerca de un millón de aparatos conectados.

Akamai estima que cerca de 2 millones de aparatos IoT en total están comprometidos desde que en 2015 apareciera un código que permitía crear ataques a estos aparatos y algunos nombres de malware además de Mirai sonLizkebab, BASHLITE, Torius, o gafgyt se van a crear bastante habituales en el futuro.

La falta(incumplimiento) la tienen los IoT chinos, dicen algunos

Parece ser que lo “barato sale caro” se vuelve a cumplir porque se ha señalado, según FlashPoint , al elaborador chino XiongMai Technology, que es proveedor de elementos para muchas empresas con cámaras IP y sistemas similares, como causante de la existencia de un número muy elevado de aparatos vulnerables. Según comenta Telefónica, el 29% de os IoT infectados recientemente en EEUU, seguidos de un 23% en Brasil(País) y un 8% en Colombia, dejando el resto de porcentaje en otros países del mundo.

¿Quién ha reclamado el ataque DDoS del pasado viernes?

De instante hay muchos grupos que se han otorgado la autoría del ataque DDoS del pasado viernes. Están los New World Hackers, distribuidos en China(País) y Rusia(País) que lo reclamaban a través de un mensaje en twitter y en una entrevista, donde aseguran que tienen lista una red de bots de 100.000 equipos infectados.

Como no, los habituales Anonymous también salieron al paso y dijeron que el ataque se había producido por el corte de Internet a Julian Assange en Ecuador  mientras el cofundador de Wikileaks estaba filtrando informes que afectarían a la campaña electoral en EEUU.

De momento, el Gobierno de EEUU. no ha reafirmado estas autorías y el FBI continua investigando qué ha logrado pasar en los servidores de DynDSN que, por su parte, si que ha regalado alguna explicacion los ultimos días

SEGURIDAD DE CONEXIONES

Consejos avanzados de seguridad

Si a pesar de haber elegido una buena encriptación para nuestra red, y escogido una contraseña adecuada, queremos asegurarnos más aún la seguridad —valga la redundancia—, hay otras cosas que podemos hacer:

• Ocultar nuestra red, haciendo que el SSID no sea visible. No es que sea realmente una medida de seguridad muy fuerte, pues existen programas que fácilmente las revelan, pero ayuda a complicar las cosas un poco más a quien tenga intención de acceder a nuestra red. El inconveniente es que para configurar nuevos dispositivos, deberá hacerse de forma manual.

• Crear una lista blanca de direcciones MAC. Cada dispositivo con tarjeta de red inalámbrica, ya sea móvil, tablet u ordenador, tiene una dirección única que lo identifica —de hecho, la identificación es de la propia tarjeta—. Con esa información, podemos crear una lista de dispositivos autorizados en nuestra red, para que ningún otro dispositivo se pueda conectar sin que demos nosotros mismos de alta esa dirección en la lista. Sin embargo hay que tener en cuenta que un usuario avanzado con malas intenciones puede cambiar la MAC de su ordenador por una autorizada.

• Comprobar qué dispositivos están conectados a nuestra red. La mayoría de los routers ofrecen la posibilidad de conocer los dispositivos conectados a la red en ese momento. De esta manera, podemos saber si tenemos un intruso, y actuar en consecuencia, cambiando inmediatamente la contraseña y la SSID de nuestra red.

• Limitar el número de conexiones del router, para que no haya más de las que necesites, así no admitirá nuevas conexiones. Si en algún momento la necesitamos, podemos ampliarla temporalmente.

• Configurar el router para que sólo se pueda controlar desde una conexión LAN, y no a través de la red WiFi, así nos aseguramos que si alguien consigue entrar en la red, no pueda modificar nuestra configuración a su antojo.

• Como han añadido en los comentarios, también es una buena opción desactivar el DHCP y asociar direcciones MAC a IPs de manera estática en el router.
  

CONFIGURACIÓN DE ROUTER

Entre algunas de las opciones de configuración que puedes encontrar en tu router se incluyen: el control parental, ajustes de la red wifi, ver quienes están conectados a tu red, etc. En general estas opciones son muy útiles para gestionar tu red doméstica. Y en esta corta guía vamos a ver cómo llegar a ellas.

Acceso a la interfaz web del router En primer lugar tendrás que acceder a la interfaz de configuración del router a través de un navegador web. Estos ajustes de configuración están disponibles desde cualquier dispositivo conectado en red local.

Acceder al router es tan sencillo, sólo has de ingresar la IP del router en la barra de dirección del navegador web y pulsar Enter. Si tienes el manual en él podrás encontrar cuál es la dirección IP por defecto o predeterminada del router. Otra opción es buscarla debajo en la pegatina o etiqueta del mismo.

SEÑALES WIFI

Las redes Wi-Fi permiten la conectividad de equipos y dispositivos mediante ondas de radio.
Existen distintos estándares que se han ido implementando con el paso del tiempo, con el objetivo de mejorar la conectividad y su rendimiento.
Todos son mejoras y parten del inicial estandar 802.11. Se espera que las mejoras continuaran durante años. 
Poseen características diferentes como la frecuencia que usan, el ancho de banda, la velocidad y el alcance o rango.
En los dispositivos casi siempre existe compatibilidad con los estándares anteriores y un adaptador inalámbrico aunque admita varios estándares, siempre va a escoger y usar de ser posible el que más velocidad permita.
Los estándares más utilizados actualmente en las redes Wi-Fi son los siguientes: 

El estándar 802.11ac :

El estándar 802.11ac se está implementando desde el comienzo del 2014.
Los componentes que lo emplean consumen menos energía, por lo que es ideal para dispositivos portables, además ahora es posible transmitir datos idénticos a usuarios diferentes.
Usando la banda de 5 GHz el radio de alcance es menor, pero en la práctica se pueden alcanzar distancias mayores usando la tecnología "Beamforming" que focaliza la señal de radio.

El estándar 802.11n:

IEEE 802.11n en 2009, con una velocidad máxima de hasta 11 Mbits/s, 54 Mbits/s y600 Mbits/s, respectivamente. Los tres tienen una gran aceptación internacional gracias en parte a la disponibilidad universal de la banda de 2.4 GHz de los dispositivos electrónicos, aunque el IEEE 802.11n también funciona en 5 GHz.

A pesar de que el 802.11n es mucho más reciente y que el 802.11g ha sido adoptado ampliamente hasta la fecha por su velocidad y por ser algo más económico que sus antecesores

Mientras los estándares 802.11b, 802.11g y 802.11n pueden comunicarse entre ellos al ope

rar también en 2.4 GHz, el 802.11n es el más interesante de todos ya que este puede comunicarse con todos los anteriores sin problemas de incompatibilidad tanto en 2.4 como en 5 GHz.

El estándar 802.11g :

802.11b, 802.11g, 802.11n son los más aceptados actualmente a nivel mundial. Los tres trasmiten en el mismo ancho de banda, los 2,4 Ghz y la diferencia básica radica en la velocidad de transferencia (teórica) que son capaces de conseguir, 11, 54  y 300 Mbit/s respectivamente.