"Un tercio de Internet está siendo atacado. Millones de direcciones de red fueron objeto de ataques distribuidos de denegación de servicio (DDoS) durante un período de dos años, "informa Warren Froelich en el sitio web del UC San Diego News Center. Un DDoS es un tipo de ataque de denegación de servicio (DoS) en el que el atacante lleva a cabo un ataque utilizando muchas fuentes distribuidas por la red.

¿Pero está justificado el periodista en su reacción alarmista? Si y no. Si un tercio de Internet fuera atacado, entonces uno de cada tres teléfonos inteligentes no funcionaría, y una de cada tres computadoras estaría desconectada. Cuando miramos a nuestro alrededor podemos ver que obviamente este no es el caso, y si ahora dependemos tanto de nuestros teléfonos y Wikipedia, es porque hemos llegado a ver Internet como una red que funciona bien.

Todavía, el fenómeno DDoS es real. Los ataques recientes atestiguan esto, como el ataque de la botnet Mirai al anfitrión web francés OVH y al anfitrión web estadounidense DynDNS. Los sitios web propiedad de los clientes de estos servidores no estuvieron disponibles durante varias horas.

Lo que realmente analizó el estudio de origen fue la aparición de direcciones IP en los rastros de ataques DDoS. Durante un período de dos años, los autores encontraron las direcciones de dos millones de víctimas diferentes, de los 6 millones de servidores que figuran en la web.

Atascos de tráfico en la superautopista de la información

Unidades de datos, llamados paquetes, circular por la red de Internet. Cuando todos estos paquetes quieren ir al mismo lugar o tomar la misma ruta, se produce congestión, al igual que los atascos de tráfico que se producen al final de una jornada laboral.

Cabe señalar que en la mayoría de los casos es muy difícil, casi imposible, para diferenciar entre tráfico normal y tráfico de ataque de denegación de servicio. El tráfico generado por los fenómenos de "multitud flash" y "efecto de barra diagonal" es idéntico al tráfico que se observa durante este tipo de ataque.

Sin embargo, esta analogía solo llega hasta cierto punto, dado que los paquetes a menudo se organizan en flujos, y la congestión en la red puede provocar la destrucción de estos paquetes, o la creación de nuevos paquetes, provocando aún más congestión. Por lo tanto, es mucho más difícil remediar un ataque de denegación de servicio en la web que un atasco.

Este tipo de ataque satura el enlace de red que conecta el servidor a Internet. El atacante hace esto enviando una gran cantidad de paquetes al servidor de destino. Estos paquetes se pueden enviar directamente si el atacante controla una gran cantidad de máquinas, una botnet.

Los atacantes también utilizan los mecanismos de amplificación integrados en ciertos protocolos de red, como el sistema de nombres (DNS) y la sincronización del reloj (NTP). Estos protocolos son asimétricos. Las solicitudes son pequeñas, pero las respuestas pueden ser enormes.

En este tipo de ataque, un atacante contacta con los amplificadores DNS o NTP pretendiendo ser un servidor que ha sido atacado. Luego recibe muchas respuestas no solicitadas. Por lo tanto, incluso con una conectividad limitada, el atacante puede crear un nivel significativo de tráfico y saturar la red.

También existen "servicios" que ofrecen la posibilidad de comprar ataques de denegación de servicio con distintos niveles de intensidad y duración, como se muestra en una investigación que Brian Krebs llevó a cabo después de que su propio sitio fuera atacado.

¿Cuáles son las consecuencias?

Para los usuarios de Internet, la principal consecuencia es que el sitio web que quieren visitar no está disponible.

Para la víctima del atentado, la principal consecuencia es una pérdida de ingresos, que puede tomar varias formas. Para un sitio web comercial, por ejemplo, esta pérdida se debe a la falta de pedidos durante ese período. Para otros sitios web, puede resultar de la pérdida de ingresos publicitarios. Este tipo de ataque permite que un atacante use anuncios en lugar de otra parte, permitiendo al atacante aprovechar los ingresos generados al mostrarlos.

Ha habido algunos raros ataques institucionales. El ejemplo más documentado es el ataque contra Estonia en 2007, que se atribuyó al gobierno ruso, aunque esto ha sido imposible de probar.

La ganancia financiera directa para el atacante es rara, sin embargo, y está vinculado a las demandas de rescate a cambio de poner fin al ataque.

¿Es serio?

El impacto que tiene un ataque en un servicio depende de la popularidad del servicio. Por lo tanto, los usuarios experimentan un ataque de bajo nivel como una molestia si necesitan utilizar el servicio en cuestión.

Solo ciertos sucesos a gran escala, la más reciente es la botnet Mirai, tienen impactos que son percibidos por una audiencia mucho más amplia.

Muchos servidores y servicios se encuentran en entornos privados, y por lo tanto no son accesibles desde el exterior. Servidores empresariales, por ejemplo, rara vez se ven afectados por este tipo de ataque. Por tanto, el factor clave de la vulnerabilidad radica en la subcontratación de servicios de TI, lo que puede crear una dependencia de la red.

Finalmente, un ataque con un impacto muy alto, en primer lugar, ser detectado de inmediato (y, por lo tanto, a menudo bloqueado en unas pocas horas), y al final estaría limitado por sus propias actividades (ya que la comunicación del atacante también estaría bloqueada), como se muestra en el antiguo ejemplo del gusano SQL Slammer.

Por último, el estudio muestra que los fenómenos de ataques de denegación de servicio por saturación han sido recurrentes en los últimos dos años. Esta noticia es lo suficientemente significativa como para demostrar que este fenómeno debe abordarse. Sin embargo, esto no es un hecho nuevo.

Otros fenómenos, como la manipulación de enrutamiento, tienen las mismas consecuencias para los usuarios, como cuando Pakistan Telecom secuestró direcciones de YouTube.

Buena higiene de TI

Desafortunadamente, no existe una forma segura de protección contra estos ataques. En el final, todo se reduce a una cuestión de costo del servicio y la cantidad de recursos disponibles para los usuarios legítimos.

Los "grandes" proveedores de servicios tienen tantos recursos que es difícil que un atacante los pille desprevenidos.

Todavía, este no es el fin de Internet, lejos de ahi. Sin embargo, este fenómeno es uno que debería limitarse. Para los usuarios, Se deben seguir buenas prácticas de higiene de TI para limitar los riesgos de que su computadora se vea comprometida, y por lo tanto solía participar en este tipo de ataque.

También es importante revisar qué tipo de protección han establecido los proveedores de servicios subcontratados, para asegurarse de que tengan la capacidad y los medios de protección suficientes.

Este artículo se publicó originalmente en The Conversation. Lea el artículo original.