Federico Dios Service Line Manager Akamai Technologies.

La seguridad en Internet es una preocupación creciente, debido al aumento en el número y la sofisticación de los ataques web. Las empresas están recurriendo a opciones basadas en Internet para reforzar sus capacidades de seguridad interna e implementan cada vez más unos sistemas de defensa multicapa que están disponibles en todo momento, son proactivos y utilizan seguridad basada en la nube allí donde es necesario.

El aumento en el volumen y la complejidad de los ciberataques se ve facilitado por el hecho de que en la actualidad resulta más fácil que nunca lanzarlos.Hay disponibles herramientas fáciles de usar, con frecuencia desarrolladas para realizar pruebas internas, para aquellos con intenciones maliciosas, decididos por el beneficio que ofrece el creciente valor de los activos online y animados por la pequeña inversión necesaria para financiar el sabotaje online y el espionaje económico.Además, la capacidad de lanzar ataques de mayor tamaño crece constantemente a medida que aumentan la adopción de la conectividad de banda ancha rápida y el uso de ordenadores y dispositivos móviles más potentes. Los atacantes pueden secuestrar estos recursos mediante código malicioso, o bots, y utilizarlos para llevar a cabo ataques distribuidos. La capacidad de las defensas de TI disponibles para mitigar los ataques de mayor tamaño y la información y experiencia necesarias para mantener estas defensas actualizadas son actualmente factores críticos para determinar la seguridad y disponibilidad de los activos online de una empresa.

El uso creativo de los ataques de reflexión

Una tendencia clave es el uso creciente de tecnologías de reflexión para lanzar ataques distribuidos de denegación de servicio (DDoS) de gran tamaño, en los que no se ataca directamente al sistema objetivo, sino que se da un uso indebido de servicios como el sistema de nombres de dominio (DNS) o el protocolo de tiempo de red (NTP). DNS y NTP se basan en el protocolo de datagramas de usuario (UDP), que se puede utilizar para ocultar identidades mediante la sustitución de una dirección falsificada.

Akamai calcula que un gran porcentaje de los ataques DDoS utilizan tecnologías de reflexión. Es fácil ordenar a los servidores NTP y DNS que respondan con cantidades de tráfico significativamente mayores (con una amplificación de unas 500 veces) de las que reciben y los atacantes no necesitan establecer el control de un servidor o un dispositivo para lanzar un ataque de reflexión. Además, cada vez se utilizan más soluciones de DDoS contratadas temporalmente, junto con la tecnología de reflexión creativa, debido al bajo coste de inversión que conllevan, lo que supone que incluso personas con pocas habilidades pueden lanzar ataques DDoS a gran escala.

Los ataques DDoS utilizan Internet de las cosas

Los atacantes también pueden integrar sus herramientas en un espectro más amplio de posibles botnets, que se utilizan para lanzar ataques DDoS con una distribución incluso mayor. Los nuevos agentes de botnets incluyen smartphones, dispositivosmóviles (“wearables”), dispositivos embebidos, así como filtros y módems con cable del lado del cliente, todos incluidos bajo el término general "Internet de las cosas".

Estos dispositivos se utilizan en conexión con ataques de reflexión del protocolo simple de detección de servicios (SSDP). El SSDP forma parte del protocolo Universal Plug and Play (UPnP), que permite controlar dispositivos como impresoras, módems con cable, cámaras web, Smart TV y contadores inteligentes a través de una red basada en IP, con o sin un gateway residencial. El SSDP permite a los dispositivos conectados en red, como un PC, un gateway o un router WLAN, detectar la presencia de otros dispositivos habilitados para SSDP y establecer un enlace de comunicación. Los dispositivos se pueden controlar a través del protocolo simple de acceso a objetos (SOAP).

Los ciberdelincuentes han descubierto que las solicitudes de SOAP se pueden utilizar para aumentar el tamaño y la cantidad de los paquetes de datos dirigidos a sus objetivos. Estos ataques DDoS, que se lanzan desde dispositivos de Internet de las cosas, utilizan tecnología de reflexión como elemento clave. Este es también un ejemplo fantástico de cómo las amenazas y los métodos evolucionan con el tiempo. Aunque los ataques SSDP no se conocían hace dos años, actualmente son uno de los tipos de ataque DDoS más observados y suponen aproximadamente el 16 % del total detectado en la Akamai Intelligent Platform™ durante las primeras 12 semanas de este año (Informe de seguridad sobre el estado de Internet del segundo trimestre de 2015).

Mayor protección contra los ciberataques

El número, el volumen y la complejidad de los ataques DDoS han aumentado enormemente durante el último año. Las estimaciones sugieren que casi la mitad de ellos incluye ataques basados en varios vectores, en los que se utilizan múltiples procesos de ataque y que, con frecuencia, están combinados con tecnología de reflexión. Cada vez más empresas utilizan servicios en la nube para sus aplicaciones web, con acceso a través de dispositivos de usuario final fijos o móviles, por lo que la infraestructura y las aplicaciones de los centros de datos se ponen en riesgo.

Si los sistemas de TI y las aplicaciones se encuentran exclusivamente en las instalaciones, las medidas de seguridad de TI solo se centran en una ubicación concreta. Sin embargo, el uso de nubes privadas e híbridas de la actualidad ha modificado este enfoque en relación a la seguridad de TI. Las líneas de defensa implementadas para proteger la infraestructura deberían, por lo tanto, distribuirse entre distintas ubicaciones físicas y distintos centros de datos.

Las empresas ya no pueden depender de soluciones en las propias instalaciones de forma exclusiva, ya que cuentan con capacidades limitadas para afrontar ataques volumétricos. El tamaño medio de un ataque DDoS contra los clientes de Akamai varió entre 5 y 10 Gbps en 2014 (con el pico de mayor tamaño por encima de los 320 Gbps). Por tanto, es fácil observar cómo los métodos tradicionales que utilizan firewalls en centros de datos locales resultan inadecuados en el panorama actual de amenazas.

Para contrarrestar de manera eficaz las amenazas, las empresas deberían aprovechar la naturaleza diversa de Internet e implementar sistemas de seguridad de TI con múltiples capas de distinta profundidad, al igual que los propios ataques.

Esto supone disponer de varios niveles de seguridad solapados que emplean distintos métodos y procesos para la protección. Los servicios basados en la nube son la piedra angular de una solución que ofrezca protección y disponibilidad de las aplicaciones y datos críticos de la empresa. Este tipo de enfoque supera los puntos débiles inherentes a los sistemas de seguridad perimetral e internos tradicionales.

Un planteamiento polifacético aprovecha la arquitectura de Internet, flexible, escalable y altamente distribuida, para proteger la infraestructura, las aplicaciones web y las bases de datos y, de este modo, evitar tiempos de inactividad y pérdidas de datos. Las soluciones de seguridad y disponibilidad basadas en la nube ofrecen un sistema de seguridad siempre disponible o bajo demanda. Son altamente escalables, ofrecen fácil acceso y reducen  el coste total de propiedad para la planificación y el mantenimiento de las medidas de seguridad de TI de las empresas. Esta solución requiere una infraestructura en la nube altamente distribuida y con solapamiento de redes, que detenga los ataques en el perímetro desde el lugar en el que se originan y permita respuestas en tiempo real ante cualquier cambio. Este enfoque mantiene las solicitudes maliciosas lo más lejos posible de los servidores web de origen y limita su capacidad de aprovechar los cuellos de botella en los recursos de los centros de datos, como el ancho de banda entrante y la CPU y memoria de los servidores. Una solución de seguridad basada en la nube también debe ser capaz de detener ataques DDoS frecuentes lo antes posible. Si el tráfico del nivel de red no contiene la información necesaria para redirigirlo a los sitios web de la empresa, se supondrá automáticamente que este tráfico es malicioso o erróneo.

A diferencia de los ataques contra la infraestructura, los ciberataques contra las aplicaciones no se pueden detener automáticamente en el perímetro. Para protegerse contra los ataques DDoS en el nivel de aplicación, se requiere una plataforma de seguridad en la nube activa a nivel global y con suficiente capacidad para absorber altos volúmenes de inundaciones HTTP y DNS antes de que lleguen a una aplicación. Además, el tráfico de ataque se puede redirigir a centros de datos especiales para su "desinfección". El tráfico de datos maliciosos se elimina en estos centros de barrido y el tráfico de datos legítimo se redirige con una mínima demora.

Firewall de aplicaciones web como servicio en la nube

Se puede emplear un firewall de aplicaciones web (WAF), utilizado como servicio en la nube, como nivel de protección adicional con el fin de combatir posibles ataques DDoS en el nivel de aplicación.

Otro elemento importante del nivel de defensa general es disponer de protección altamente escalable contra ataques DNS, que aproveche la infraestructura DNS, que es con frecuencia uno de los puntos débiles de la infraestructura web. Las empresas suelen utilizar muy pocos servidores DNS, por lo que rápidamente dejan de ser capaces de superar un ataque DDoS masivo y de responder a las solicitudes DNS legítimas.

Ante el panorama de amenazas actual, las empresas deben proceder con enorme cuidado a la hora de tomar medidas para proteger sus centros de datos e infraestructuras digitales.Una seguridad de TI eficaz requiere mecanismos de protección de varios niveles, que utilicen un muro de protección exterior basado en la nube para complementar la medidas tradicionales en las instalaciones que ya se han establecido, con el fin de permitir que el sistema de protección sea flexible y escalable en respuesta a los ataques de alto volumen, y para limitar estos ataques.