Los ataques de denegación de servicio distribuidos, comúnmente conocidos como ataques DDoS, son un tipo de ataque informático muy peligroso y complicado de detectar y mitigar mediante el cual los atacantes buscan saturar los recursos del sistema de la víctima para dejarlo sin servicio.
En los últimos meses hemos visto cómo estos ataques han sido capaces de dejar sin servicio a un país entero saturando el ancho de banda del cable submarino del mismo e incluso cómo, al atacar directamente al servidor DNS Dyn, han sido capaces de tumbar media Internet, incluyendo grandes plataformas como Twitter y Netflix.
Los ataques DDoS son muy complicados de detectar, ya que se debe diferenciar el tráfico «bueno» del «malo» y, sobre todo, muy complicado de mitigar ya que hay que actuar en tiempo real, algo prácticamente imposible con anchos de banda cercanos al terabit por segundo. Sin embargo, existen varias técnicas, cada vez más eficaces, para filtrar el tráfico malicioso y reducir el impacto de los ataques DDoS, aunque, como era de esperar, los piratas informáticos han encontrado nuevas formas de complicar aún más la labor de protegerse de estos ataques.
Piratas informáticos utilizan WordPress para realizar ataques DDoS de tráfico cifrado
Según los expertos de seguridad de Kaspersky, varios grupos de piratas informáticos han empezado a realizar ataques DDoS en los que el tráfico viaja cifrado, algo que complica mucho más la tarea de detección y mitigación de estos ataques, hasta el punto de que, prácticamente, son imposibles de bloquear.
Para llevar a cabo estos ataques, los piratas informáticos hacen uso de los conocidos Pingback, una función diseñada para enviar una notificación a los autores de los blogs cada vez que se les menciona en otro portal. Los atacantes han encontrado la forma de falsificar estas notificaciones con remitentes falsos de manera que son capaces de realizar un gran ataque DDoS HHTP GET sin necesidad de utilizar botnets, simplemente con un blog. Si, además, a este blog le implementas un protocolo HTTPS, todo este tráfico HTTP GET queda cifrado y es muy complicado de detectar y diferenciar del tráfico real.
Además de los problemas de saturación del ancho de banda, el uso de conexiones HTTPS supone un consumo de recursos mucho mayor al de las conexiones HTTP, por lo que el hardware de la víctima también puede verde afectado a la hora de intentar procesar estos recursos, quedando mucho más fácilmente fuera de servicio.
El estándar HTTPS no permite a terceros descifrar y analizar el tráfico, por medidas de seguridad, por lo que, por el momento, estos ataques son prácticamente indetectables e imposibles de bloquear. Habrá que ver si, con el tiempo, las principales empresas de seguridad encuentran la forma de proteger a sus clientes de estos ataques que, sin duda, dejarán marca en 2017.
¿Crees que los ataques DDoS cifrados suponen un nuevo peligro?