Netflix, Twitter, Spotify, Reddit, SoundCloud y otros sitios importantes se cayeron, algunos durante varias horas. Resulta que todos ellos tenían un proveedor de servicios común – Dyn – que juega un papel crítico en el funcionamiento adecuado de sus servicios las 24 horas del día, los 7 días de la semana. El propio servicio de Dyn fue interrumpido por un ataque masivo de denegación de servicio distribuido (ataque DDoS), resultando en que los sitios web de sus clientes se volvieran inalcanzables para millones de usuarios en todo el mundo.
¿Existe un problema fundamental con Internet?
A pesar de la apariencia de fragilidad creada por apagones públicos como el de Dyn, Internet fue diseñado para ser muy difícil de derribar para un atacante, y es resistente a largo plazo incluso a los hackers o ataques DDoS de mayor escala.
Dicho esto, en el corto plazo, los ataques DDoS exitosos pueden crear interrupciones dolorosas que, si se programan para que coincidan con eventos importantes, podrían tener consecuencias desastrosas. El impacto de eliminar la infraestructura de comunicaciones públicas o impedir el acceso a los datos o a los fondos puede ser significativo. Y las malas relaciones públicas asociadas a una interrupción del servicio ciertamente afectan la percepción pública de una compañía, especialmente las compañías de tecnología que operan servicios en línea. Como resultado, DDoS es una seria preocupación para la mayoría de las empresas y la creciente escala y sofisticación de los ataques DDoS está poniendo aún más atención a esta amenaza.
La «nueva normalidad» de los DDoS a gran escala
La interrupción del servicio de Dyn fue otra demostración de cómo los ataques a varios puntos críticos en Internet pueden impactar a millones de usuarios, y cuán vulnerables pueden ser esos puntos en la actualidad. En este caso, el DNS (el «sistema de nombres de dominio») no es algo en lo que piensen la mayoría de los usuarios, pero toda Internet depende de ello. DNS traduce nombres legibles por humanos, como «twitter.com», a nombres legibles por máquinas, como «199.59.150.7». Ese número, llamado dirección IP, es lo que realmente conecta tu computadora a Twitter. Los servicios de DNS proporcionados por Dyn a sitios como Twitter fueron atacados por un ataque DDoS, impidiendo que los usuarios pudieran acceder a los sitios web de los clientes de Dyn.
Una de las consecuencias del ataque de Dyn es que las actuales defensas DDoS necesitan dimensionarse y prepararse de forma proactiva para la «nueva escala normal» de DDoS, para ayudar a evitar apagones.
Los ataques DDoS han existido durante muchos años, pero han empeorado mucho últimamente. Un gran impulsor es el crecimiento de la Internet de los objetos (IO). En términos simples, ahora hay miles de millones de dispositivos conectados a Internet que los atacantes pueden secuestrar y organizar en botnets. Los dispositivos de IO actuales (como las cámaras de seguridad y los routers) son en realidad ordenadores, pero con mucha menos seguridad en muchos casos. Esto hace que el trabajo del atacante de construir botnets sea más fácil que nunca.
El mes pasado se publicó el código fuente de un sistema de redes de bots llamado Mirai. Mirai es un marco que se centra en poner en peligro los dispositivos de IO inseguros y simplifica el trabajo de los atacantes combinando el control de esos dispositivos en el mismo sistema. Fue responsable del exitoso ataque DDoS en el sitio web de seguridad KrebsOnSecurity, que fue el mayor DDoS jamás registrado en ese momento.
Dyn confirmó que los ataques procedían de decenas de millones de direcciones IP y que utilizaban botnets Mirai. El lunes, la empresa china de electrónica Hangzhou Xiongmai Technology anunció que retiraría sus productos de webcam, que eran el objetivo específico de Mirai. Esto es útil para limitar la escala de Mirai, pero no resuelve el mayor problema de botnets de IO, ya que muchos proveedores de dispositivos ponen la seguridad en segundo plano a la hora de crear nuevos productos, y otros dispositivos siguen siendo vulnerables a esquemas similares.
Los recientes ataques Mirai son notables por su gran volumen, pero las defensas de seguridad DDoS estándar pueden ser escaladas en respuesta para detenerlos después de un apagón, como Dyn demostró posteriormente. Una de las consecuencias del ataque de Dyn es que las actuales defensas DDoS necesitan dimensionarse y prepararse de forma proactiva para la «nueva escala normal» de DDoS, para ayudar a evitar apagones.
Automatización avanzada: La próxima generación de ataques ya está aquí
Pero aparte del aumento de los volúmenes de DDoS, se vislumbran ataques más avanzados de DDoS en el horizonte y, de hecho, ya en la práctica. Hemos comenzado a ver técnicas de DDoS de aplicaciones más sofisticadas, que utilizan herramientas de automatización avanzadas para aleatorizar no sólo sus direcciones IP utilizando botnets, sino también para fabricar otras características de transacción. Esto ayuda a los atacantes a evitar crear los patrones que buscan las soluciones DDoS para distinguir una transacción de ataque de una legítima.
En particular, los hackers ahora están eliminando sitios web mediante la selección de aplicaciones, como formularios de búsqueda, con solicitudes personalizadas cada vez, en lugar de limitarse a martillar un sitio con la misma solicitud una y otra vez desde muchas máquinas. Los ataques DDoS específicos de aplicaciones son mucho más eficientes para los ciberdelincuentes porque evitan las defensas (como las redes de entrega de contenido) diseñadas para absorber ese tráfico y requieren muchas menos máquinas o dispositivos en la botnet del atacante para derribar una aplicación. Esta es la próxima frontera de DDoS para la que la mayoría de las empresas no están preparadas hoy en día.
El mercado clandestino de DDoS-as-a-service también está proliferando, siguiendo la tendencia general de los ciberdelincuentes especializados en centrarse en lo que cada grupo hace mejor. Un DDoS público a gran escala demuestra la fuerza de la red de bots de un atacante, que le permite vender sus servicios a otros ciberdelincuentes con mayor facilidad. Hay miles de mensajes de «proveedores» de DDoS que ofrecen atacar sitios a partir de unos pocos dólares. Aunque la motivación para el ataque a Dyn aún no ha sido identificada públicamente, la fuerza de la red de bots del atacante ha sido claramente demostrada.
Cómo se protegerá Internet
La redundancia de los servicios es una forma de ayudar a proteger a los consumidores. Por ejemplo, si no puedes acceder a Twitter, todavía puedes acceder a Facebook. Pero la mejor defensa para todos los usuarios es la capacidad de los proveedores de servicios en línea para mantenerse por delante de los atacantes e invertir en la mejora constante de la tecnología y la infraestructura. Las mejores defensas DDoS permitirán que los sitios web y las aplicaciones resistan la tormenta de los inevitables ataques DDoS con los que se ven afectados todos los sitios principales.
Afortunadamente, la visibilidad de los ataques DDoS durante los últimos años ha ayudado a educar al mercado, y hoy en día la mayoría de las grandes empresas cuentan con un nivel básico de protección DDoS sobre el que pueden – y deben – construir con el tiempo. Desafortunadamente, el ataque a Dyn ilustra que todavía hay muchos vacíos en la escala y eficacia de la mayoría de las defensas de la compañía.