La Denegación de Servicio Distribuido o DDoS (por sus siglas en inglés, Distributed Denial of Service), es un ataque dentro del ámbito de la seguridad informática que tiene por objetivo interrumpir el normal funcionamiento de una red, servidor o servicio mediante el envío masivo de peticiones que provocan la caída del mismo.
La consecuencia inmediata cuando se produce un ataque de Denegación de Servicio Distribuido es que la información alojada en esa red, servidor o servicio deja de estar disponible para los usuarios legítimos, lo que puede causar pérdidas económicas y reputacionales para los propietarios del servicio atacado.
A diferencia de un ataque de Denegación de Servicio (DoS), en el que las peticiones se realizan desde una única dirección IP o máquina, la Denegación de Servicio Distribuido (DDoS) se lleva a cabo utilizando diferentes máquinas y direcciones IP. Por tanto, bloquearlo es más difícil ya que el administrador no puede parar el ataque denegando el tráfico desde una única dirección IP.
Para llevar a cabo este tipo de ataque es muy común que los ciberdelincuentes lancen las peticiones desde máquinas sin que los usuarios de estas sean conscientes de que sus dispositivos están siendo utilizados para realizar un ataque de Denegación de Servicio Distribuido. Generalmente los atacantes infectan las máquinas de terceros a través de malware que les permite la obtención del control de forma remota.
A los ordenadores que los ciberdelincuentes consiguen “reclutar” para llevar a cabo un ataque de Denegación de Servicio Distribuido se los conoce como bots o zombis, y al conjunto de ellos se los denomina botnet o red zombi.
Existen diferentes modos de llevar a cabo un ataque de Denegación de Servicios Distribuido que dependerán, principalmente, del tipo de información que se envíe a través de esas peticiones masivas.
Uno de los tipos más utilizados es el Smurf attack (ataque pitufo) que consiste en el envío de grandes cantidades de peticiones echo ICMP (ping) que solicitan una respuesta a la dirección IP de la víctima. De este modo, todos los equipos que han recibido la petición responden a la misma máquina saturando el ancho de banda de la víctima y pudiendo provocar el bloqueo y la caída del servidor.
Para mitigar el riesgo de sufrir un ataque de Denegación de Servicios Distribuido en nuestros sistemas se pueden tomar medidas como:
- Configurar los enrutadores y los host para que no respondan a solicitudes echo de ICMP.
- Desactivar la difusión a través de IP, bloqueando así el tráfico de difusión directa que se introduce en la red.
Asimismo, existen algunos indicadores que nos pueden ayudar a sospechar si alguno de nuestros dispositivos ha sido infectado y forma parte de una botnet. Algunos de ellos son:
- Si el sistema tarda más de lo normal en encenderse o apagarse.
- Si detectamos funcionamiento lento tanto del sistema del dispositivo como de la conexión a internet.
- Si notamos que aumenta el consumo tanto de recursos como de la batería de nuestros dispositivos.
- Si detectamos que nuestros contactos están recibiendo mensajes de correo que nosotros no hemos enviado.
- Si notamos un aumento en la aparición de spam en nuestros dispositivos.
- Si aparecen programas que nosotros no hemos instalado.
- Si los ventiladores del ordenador y/o el disco duro se pone a trabajar cuando la máquina está en reposo.
