¿Qué son los ataques de denegación de servicio (DoS)?

Un ataque de denegación de servicio (DoS) tiene como objetivo inhabilitar una máquina o red para que sus usuarios no puedan acceder a ella. Para lograrlo, los ataques DoS, bien inundan de tráfico el sistema objetivo, bien le envían información que lo hace colapsar. En ambos casos, el ataque DoS priva a los usuarios (empleados, miembros, titulares de la cuenta, etc.) del servicio o recurso al que esperaban acceder.

Las víctimas de este tipo de ataques suelen ser los servidores web de organizaciones importantes, como instituciones bancarias, comercios, medios de comunicación, organismos públicos u organizaciones comerciales. A pesar de que los ataques DoS no suelen desembocar en el robo ni la pérdida de información u otros activos importantes, sí que pueden salir caros por la gran cantidad de tiempo y dinero que hay que invertir en ponerles remedio.

Los ataques DoS recurren a uno de estos dos métodos generales: la saturación de los servicios o el colapso y bloqueo de los mismos. Los ataques por saturación se producen cuando el sistema recibe tanto tráfico que se excede la capacidad del búfer del servidor. Esto provoca la ralentización e incluso la caída del sistema atacado. Estos son algunos de los ataques por saturación más conocidos:

  • Ataques de desbordamiento del búfer: se trata del ataque DoS más habitual y consiste en enviar a una dirección de red más tráfico del que puede gestionar el sistema. Aquí se incluyen los ataques que enumeramos a continuación, además de otros diseñados para explotar errores específicos de aplicaciones o redes concretas.
  • Inundación ICMP: este tipo de ataque se aprovecha de los dispositivos de red mal configurados. Para ello, envía paquetes fraudulentos que hacen ping a todos los ordenadores de la red atacada, en lugar de a una máquina en concreto. A continuación, la red se activa para amplificar el tráfico. Este tipo de ataque se conoce también como «ataque pitufo» o «smurf» y como «ping de la muerte».
  • Inundación SYN: en este tipo de ataque, se envía una solicitud de conexión a un servidor, pero nunca se llega a completar el handshake. El ataque continúa hasta que todos los puertos abiertos están saturados de solicitudes y no queda ninguno disponible para que se conecten los usuarios legítimos.

Otros ataques DoS se limitan a explotar vulnerabilidades que provocan el colapso del sistema o servicio objetivo. En estos casos, el atacante introduce datos que le permiten aprovecharse de los errores del sistema objetivo y, a continuación, hacerlo colapsar o desestabilizarlo gravemente, para que quede inutilizado e inaccesible.

Otro tipo de ataque DoS es el ataque de denegación de servicio distribuido (DDoS). Los ataques DDoS se producen cuando varios sistemas orquestan un ataque DoS sincronizado con un solo objetivo. La diferencia fundamental radica en que el sistema objetivo se ataca desde varias ubicaciones a la vez, y no desde una sola. La distribución de hosts que caracteriza a los ataques DDoS reporta varias ventajas al atacante:

  • El elevado número de máquinas que tiene a su disposición le permite ejecutar ataques capaces de provocar grandes trastornos.
  • Resulta difícil detectar la ubicación del ataque debido a la distribución aleatoria de los sistemas utilizados para perpetrarlo, que muchas veces están repartidos por distintas partes del mundo.
  • Es más complicado bloquear varias máquinas que una sola.
  • Es muy difícil determinar la verdadera identidad de quien lanza el ataque, ya que se esconde tras muchos sistemas (la mayoría de ellos, en riesgo).

Las tecnologías de seguridad modernas han desarrollado mecanismos de defensa frente a la mayoría de las variantes de ataques DoS. Sin embargo, debido a las particularidades de los DDoS, estos siguen considerándose una amenaza grave y son los que más preocupan a las organizaciones que temen sufrir un ataque de este tipo.