Conceptos básicos de protección DDoS para sitios web de empresas

Jazmie Jamaludin

Imagine una pequeña tienda en una calle concurrida. Una mañana, en lugar de clientes que pagan, diez mil personas entran a la vez por la puerta, atascando los pasillos, bloqueando la caja y negándose a comprar nada. Los clientes reales no pueden entrar. El personal no puede moverse. La tienda está técnicamente abierta, pero es completamente inútil. Eso, en pocas palabras, es lo que un ataque de denegación de servicio distribuido le hace a un sitio web.

La buena noticia es que no necesita un título en informática para comprender los ataques DDoS o para defenderse de ellos. En esta guía, explicaremos en un lenguaje sencillo qué son estos ataques, por qué ocurren, cómo detectar uno en progreso y las capas prácticas de protección que mantienen un sitio web comercial en pie cuando llega la inundación. No se dejará ningún término técnico sin explicar, y nada que no pueda implementar esta semana.

Qué es realmente un ataque DDoS

"DDoS" significa denegación de servicio distribuido (distributed denial-of-service). Desglosemos esto. "Denegación de servicio" significa que el objetivo es simplemente denegar su servicio a los visitantes legítimos, es decir, hacer que su sitio sea inaccesible. "Distribuido" significa que el ataque no proviene de un solo lugar; proviene de miles de computadoras a la vez, dispersas por todo el mundo. Esa distribución es lo que hace que estos ataques sean tan difíciles de eliminar. Bloquea una fuente y otras mil siguen atacando.

¿De dónde provienen todas esas computadoras atacantes? A menudo son dispositivos comunes (routers domésticos, cámaras de seguridad, incluso neveras inteligentes) que han sido infectados silenciosamente con malware y se han unido a una red que el atacante controla de forma remota. Este ejército de dispositivos secuestrados se llama botnet, y los propietarios suelen no tener idea de que su dispositivo está participando. Entender por qué el malware se propaga tan silenciosamente ayuda a explicar por qué las botnets pueden crecer hasta millones.

Por qué alguien haría esto

Los motivos varían más de lo que cabría esperar. Algunos ataques son extorsión: el atacante lo desconecta y luego exige un pago para detenerse. Algunos son sabotajes competitivos programados para su día de ventas más activo. Algunos son activismo dirigido a organizaciones que no le gustan al atacante. Y un número sorprendente son simplemente oportunistas: herramientas automatizadas que buscan cualquier sitio lo suficientemente débil como para derribarlo. No es necesario ser un nombre conocido para ser un objetivo. Los sitios más pequeños son atacados precisamente porque se asume que no están defendidos.

Unos minutos de inactividad pueden costar mucho más que el propio ataque
Para un negocio en línea, cada hora de inactividad significa pedidos perdidos, carritos abandonados y confianza erosionada, que es exactamente la razón por la que los atacantes usan el tiempo de inactividad como palanca.
Fuente: Informes de amenazas DDoS de Cloudflare

Las principales categorías de ataques

No todos los ataques DDoS funcionan de la misma manera. Es útil conocer las categorías generales, porque las defensas difieren. Piénsalo como tres formas diferentes de abrumar la misma tienda.

Ataques basados en volumen

Estos son la inundación clásica: tráfico bruto en enormes cantidades, medido en ancho de banda, destinado a obstruir su conexión a Internet para que nada más pueda pasar. Es el equivalente a tanta gente atestando la calle que ningún cliente real puede siquiera llegar a la puerta.

Ataques de protocolo

Estos son más astutos. En lugar de un volumen puro, explotan el cortés intercambio que las computadoras usan para iniciar una conversación. Un ejemplo clásico inunda su servidor con solicitudes de conexión a medio terminar, dejándolo esperando respuestas que nunca llegan hasta que se queda sin capacidad. Menos tráfico, pero hábilmente dirigido a un punto débil.

Ataques a la capa de aplicación

Los más ingeniosos de todos. Estos se dirigen a páginas específicas que requieren un gran esfuerzo para cargar: una página de resultados de búsqueda, un formulario de inicio de sesión, una página de pago. Al solicitar esas páginas "costosas" una y otra vez, un atacante puede agotar su servidor utilizando una fracción del tráfico que necesitaría un ataque de volumen. Debido a que cada solicitud se parece casi a la de un visitante genuino, estos son los más difíciles de filtrar.

Los tres tipos de ataque de un vistazo
Tipo Cómo te abruma Parte más difícil de detener
Basado en volumen Inunda tu ancho de banda con tráfico bruto La escala pura puede exceder tu capacidad
Protocolo Abusa de cómo se abren las conexiones Agota los recursos del servidor silenciosamente
Capa de aplicación Ataca páginas "caras" repetidamente Parece visitantes reales

Cómo saber si estás bajo ataque

Un ataque DDoS no se anuncia cortésmente. Desde el exterior, puede parecer exactamente un aumento repentino de popularidad, lo cual es parte del problema. Aquí hay señales que deberían hacerte sospechar en lugar de deleitarte.

Su sitio se vuelve lento o completamente inaccesible sin causa aparente. No hay una campaña de marketing, ninguna mención en la prensa, ninguna prisa estacional que explique un aumento de tráfico. El pico proviene de lugares extraños: una avalancha de visitas de regiones donde no tiene audiencia. Páginas específicas, como su inicio de sesión o búsqueda, se ralentizan a paso de tortuga mientras el resto avanza a duras penas. Y lo que es crucial, el aumento no genera ventas, registros ni participación genuina: mucho ruido, cero valor.

Es precisamente por eso que la monitorización del tiempo de actividad resulta tan valiosa. Si usted está vigilando la salud de su sitio continuamente, a menudo se enterará de un problema a través de una alerta automática antes de que un solo cliente envíe un correo electrónico para decir que la página no carga. La velocidad importa durante un ataque, y los primeros minutos son aquellos en los que una acción tranquila y preparada marca la mayor diferencia.

Las capas de protección que realmente funcionan

No hay un único interruptor que te haga inmune. La protección real es un conjunto de medidas, cada una de las cuales atrapa lo que las otras pasan por alto. Repasémoslas de afuera hacia adentro.

Una red de entrega de contenido y un servicio de limpieza

Su primera y más potente línea de defensa es colocar una red grande y distribuida frente a su sitio. Una red de entrega de contenido distribuye copias de su sitio en muchas ubicaciones en todo el mundo. Debido a que tiene mucha más capacidad que cualquier servidor individual, puede absorber una avalancha que ahogaría instantáneamente su propio alojamiento. Muchas de estas redes también "limpian" el tráfico entrante, inspeccionándolo y descartando la parte maliciosa antes de que llegue a usted. Para la mayoría de las empresas, este es el paso de mayor impacto que pueden dar.

Un firewall de aplicación web

Donde una red de contenido maneja el volumen bruto, un firewall de aplicaciones web maneja la astucia. Se interpone entre los visitantes y su sitio, leyendo cada solicitud y bloqueando aquellas que coinciden con patrones de ataque conocidos. Esta es su mejor respuesta a esos ataques sigilosos a la capa de aplicación que imitan a usuarios reales, porque un buen firewall puede diferenciar entre una búsqueda genuina y mil falsas.

Limitación de velocidad

La limitación de velocidad es una regla simple y sensata: a ningún visitante individual se le debe permitir hacer cientos de solicitudes por segundo. Los humanos legítimos simplemente no se comportan de esa manera. Al limitar la frecuencia con la que una fuente puede llamar a su puerta, se mitiga toda una clase de ataques sin molestar en absoluto a los clientes reales.

La defensa funciona en capas, no con interruptores individuales
Una red distribuida absorbe la inundación, un firewall filtra lo astuto y los límites de velocidad impiden que cualquiera golpee demasiado rápido, juntos cubren lo que cada uno pierde solo.
Fuente: Guía OWASP sobre la defensa contra la denegación de servicio

Conocer el papel de su alojamiento y proveedor

Muchos proveedores de alojamiento y redes de contenido ofrecen protección DDoS como una característica integrada u opcional. Vale la pena saber exactamente qué cubre y qué no cubre su proveedor antes de que lo necesite. Algunos planes absorben ataques modestos automáticamente; otros cobran por el ancho de banda que consume un ataque, lo que puede convertir un incidente de seguridad en una factura sorpresa. Haga la pregunta mientras todo está en calma, no durante una emergencia.

Qué le sucede a su negocio mientras está desconectado

Es fácil pensar en un ataque DDoS como un evento puramente técnico, pero el daño real se siente en las partes de su negocio que no tienen nada que ver con los servidores. Cada minuto que su sitio está inaccesible, los costos se acumulan silenciosamente de maneras que perduran mucho después de que la avalancha de tráfico disminuye. Comprender esa imagen más completa es lo que motiva a la mayoría de los propietarios a tomar la protección en serio antes, y no después, de su primer incidente.

La pérdida más obvia es la de ingresos inmediatos: un escaparate que no carga no toma pedidos, y un cliente que encuentra un error rara vez espera, simplemente se va a otro sitio, a menudo a un competidor, y puede que no regrese. Menos visible pero igual de costosa es la erosión de la confianza. Las personas que encuentran un sitio muerto o lento comienzan a preguntarse silenciosamente si el negocio es confiable, y esa duda es difícil de recuperar. También puede haber efectos en cadena: los motores de búsqueda pueden notar una indisponibilidad repetida, los canales de soporte se inundan con mensajes preocupados y el personal pierde horas combatiendo incendios en lugar de hacer su trabajo. Cuando se suma todo, el argumento a favor de una defensa modesta y siempre activa se vuelve abrumador: la prevención es casi siempre más barata que la limpieza.

Construyendo un plan de respuesta simple

La tecnología es solo la mitad de la batalla. La otra mitad es saber qué hará su equipo cuando se active la alerta. Un plan de respuesta no necesita ser una carpeta gruesa; una sola página que cubra lo esencial es mejor que un plan perfecto que nadie puede encontrar.

Decida de antemano a quién se contactará y en qué orden. Anote los detalles de soporte de emergencia de su proveedor de alojamiento y seguridad en algún lugar donde pueda acceder a ellos incluso si sus propios sistemas están caídos. Acuerde cómo se comunicará con los clientes: un mensaje de estado breve y honesto en las redes sociales tranquiliza mucho más a las personas que el silencio. Y conozca el proceso de su proveedor para habilitar protección adicional o modos de "bajo ataque", porque buscar torpemente entre configuraciones desconocidas a mitad de un incidente desperdicia los minutos que más importan.

También vale la pena pensar en el DDoS como un capítulo en una historia más amplia de resiliencia. El mismo pensamiento tranquilo y ensayado se aplica si se enfrenta a una avalancha de tráfico falso o a cualquier otra crisis, razón por la cual un sólido plan de recuperación ante desastres resulta rentable en todos los aspectos. Si un ataque coincide alguna vez con una brecha genuina, conocer los pasos para recuperar un sitio comprometido evita que el pánico empeore las cosas.

Dónde encaja DDoS en el panorama general de la seguridad

Es tentador tratar la protección DDoS como una preocupación independiente, pero en realidad es una parte de una postura de seguridad completa. Los fundamentos de seguridad del sitio web sólidos (actualizaciones, monitoreo, controles de acceso sensatos) reducen la posibilidad de que su propia infraestructura se convierta en parte de la botnet de otra persona y lo convierten en un objetivo mucho menos atractivo en general. Los atacantes, como el agua, siguen el camino de menor resistencia. Cuanta más fricción agregue, más probable es que pasen a un objetivo más fácil.

A medida que la automatización y las herramientas de IA hacen que sea más económico lanzar ataques a gran escala, el nivel básico de amenaza sigue aumentando para todos los usuarios en línea. La otra cara de la moneda es que las herramientas defensivas se han vuelto igual de capaces, y las protecciones que antes estaban reservadas para grandes empresas ahora están al alcance de casi cualquier negocio. Si desea una orientación sobre qué capas tienen sentido para su configuración particular, nuestro equipo siempre estará encantado de hablarlo. Comprender el panorama más amplio de los riesgos de seguridad introducidos por los agentes de IA es cada vez más parte de la misma conversación.

Una mentalidad realista

Ningún sitio web puede ser completamente inmune a los ataques DDoS: un adversario determinado con suficientes recursos puede abrumar a casi cualquiera, brevemente. Pero ese no es el objetivo. El objetivo es hacerse lo suficientemente resistente para que los ataques comunes reboten, y lo suficientemente preparado para que uno grave se convierta en un incidente manejable en lugar de un desastre. Implemente las capas, conozca su plan, supervise sus monitores y convertirá una catástrofe potencial en una mala tarde.

Empiece por la medida de mayor impacto (poner una red capaz delante de su sitio) y construya a partir de ahí. No tiene que hacerlo todo a la vez. Simplemente tiene que ser un objetivo más difícil de lo que era ayer.

Preguntas frecuentes

¿Puede un sitio web de una pequeña empresa ser realmente un objetivo DDoS?+
Absolutamente. Muchos ataques son automatizados e indiscriminados, rastreando Internet en busca de cualquier sitio lo suficientemente débil como para derribar. Los sitios más pequeños a menudo son atacados precisamente porque los atacantes asumen que no tienen defensas. El tamaño no ofrece protección, la preparación sí.
¿Cómo puedo diferenciar un ataque DDoS de un pico de tráfico genuino?+
Observe la calidad del tráfico, no solo la cantidad. Un aumento genuino trae ventas, registros y engagement, y generalmente tiene una causa a la que puede señalar. Un ataque trae una avalancha de visitas, a menudo de regiones donde no tiene audiencia, que no producen más que ralentizaciones e interrupciones.
¿Una red de entrega de contenido realmente detiene los ataques DDoS?+
Es una de las medidas individuales más efectivas que puede tomar. Debido a que estas redes tienen mucha más capacidad que cualquier servidor individual y distribuyen el tráfico en muchas ubicaciones, pueden absorber inundaciones que instantáneamente abrumarían su propio alojamiento, y muchas filtran el tráfico malicioso antes de que llegue a usted.
¿Qué debo hacer en el momento en que sospeche un ataque?+
Póngase en contacto con su proveedor de alojamiento o seguridad de inmediato y pídale que active cualquier protección "bajo ataque", que habilite la limitación de velocidad si está disponible y que publique una actualización de estado breve y honesta para los clientes. Tener estos contactos y pasos escritos de antemano es lo que convierte una carrera frenética en una respuesta tranquila.

Referencias

  1. Cloudflare. "What is a DDoS attack?" cloudflare.com.
  2. Fundación OWASP. "Denial of Service." owasp.org.
  3. Agencia de Seguridad de Infraestructura y Ciberseguridad. "Understanding Denial-of-Service Attacks." cisa.gov.
Regresar al blog

AUTOMATICE. OPTIMICE. DOMINE.

Optimice sus operaciones y ofrezca una experiencia de cliente fluida. Deje que nuestros expertos implementen tecnología de vanguardia y flujos de trabajo optimizados para que pueda concentrarse en lo que mejor sabe hacer.

DISCUTA SUS IDEAS