Ciberataque a AristeguiNoticias… ¿Cómo funcionan los DDoS?

Hasta el mediodía del pasado lunes 20 de abril, el sitio de Aristegui Noticias estuvo fuera de servicio de forma intermitente a causa de ciberataques, poco después de la controversial publicación de un reportaje con documentos sobre la masacre de Apatzingán, ocurrida a principios del presente año. Se registraron dos ataques cibernéticos que mantuvieron el sitio fuera de servicio durante más de doce horas en total. Ambos ataques fueron de DdoS, y provocaron un bloqueo en el servidor, al registrar una saturación del enlace de red. El sitio estuvo caído casi todo el sábado, hasta que el domingo 19 se recurrió a un sistema que actúa como intermediario entre los visitantes del sitio y el servidor para mitigar el ataque. Hasta el día lunes por la tarde, aristeguinoticias.com fue reestablecido y hasta hoy continúa disponible. ¿Qué sucedió?

¿Pero… qué es un ataque DDoS?

DDoS significa “Distributed Denial of Service” o “Ataque Distribuido Denegación de Servicio”. Básicamente, este tipo de ciberataque se concentra en el servidor desde muchas computadoras o IPs diferentes para que éste deje de funcionar.

Haciendo una sencilla analogía, pensemos en el Servidor como un eficiente empleado que atiende desde una ventanilla. Su carga normal de trabajo lo obliga a encargarse a varias personas al mismo tiempo, cosa que hace sin problemas; sin embargo, si un día entran 100 personas a la vez a exigir servicio, el empleado no se dará abasto y al final de cuentas, se dará por vencido y renunciará a su labor. 

Esto mismo le ocurre a un servidor durante un ataque DDoS: si hay demasiadas peticiones a la vez, dejará de responder primero y luego de funcionar (apagándose o dejando de responder conexiones). El servidor no volverá a la normalidad hasta que el ataque se detenga, ya sea porque los hackers lo han dejado en paz, o porque se ha logrado bloquear las conexiones ilegítimas. Hay otras formas de ataque además de saturar el servidor, por ejemplo, enviar los datos lentamente haciendo que el servidor consuma más recursos por cada conexión (Slow Read), o alterar los paquetes de datos enviados por una conexión entre dispositivos para que el servidor se quede esperando indefinidamente una respuesta de una IP falsa (SYN flood).

¿Cómo se lleva a cabo?

Para realizar este tipo de ataques bastaría con que hubiera miles de personas de acuerdo para recargar el sitio hasta “tirarlo”. Sin embargo, como esto es complicado, se recurre a crear muchas conexiones simultáneas, enviar paquetes alterados o con IPs falsas. Otra técnica para llevar a cabo estos ciberataques es usar botnets o redes de computadoras de usuarios que no sospechan que han sido infectadas por un troyano que un atacante controla de manera remota.

Sin embargo, los servidores pueden protegerse con filtros que rechacen los paquetes alterados o modificados con IPs ilegítimas, de forma que al servidor sólo le llegan los paquetes legítimos. Aunque esta medida es de prevención, ya que si el ataque ya ha ocurrido, sólo puede mitigarse mediante recursos como el que mencionamos más arriba. Existen soluciones como Firewalls, IPS (Intrusion Prevention System o Sistema de Prevención de Intrusos) y dispositivos dedicados como los llamados “Anti-DDoS” que pueden ayudar a tu red para que no sufra este tipo de ataques.

Infórmate en nuestro blog y únete a nuestras redes sociales para estar siempre bien enterado sobre Seguridad Informática.