Seguridad e internet, ¿qué es un ataque DDoS?

Sin duda, ha sido la noticia de la semana, el pasado viernes las páginas de servicios como Twitter, Spotify, Netflix o PayPal dejaron de funcionar correctamente o, incluso, dejaron de funcionar. Al principio muchos usuarios pensaron en fallos puntuales de sus operadores -el ataque comenzó en zonas aisladas de la costa Este de Estados Unidos-, no obstante, en poco tiempo se pudo corroborar que se trataba de un ataque DDoS sobre Dyn, uno de los principales proveedores de DNS (acrónimo de Sistema de Nombres de Dominio en inglés).

Aunque todavía no hay datos concluyentes sobre el origen y el motivo del ataque, ya hay expertos -como los de la firma de seguridad Flashpoint- que aseguran saber cuál ha sido la herramienta utilizada para perpetrar el ataque: una enorme cantidad de cámaras IP y dispositivos grabadores infectados con malware que permitía a los atacantes controlarlos de forma remota y dirigir una enorme cantidad de tráfico hacia un mismo objetivo: Dyn.

Flashpoint, de hecho, se ha atrevido a dar un posible nombre que tienen en común gran parte de estos dispositivos zombie: XiongMai Technology, un fabricante chino de componentes que vende a terceros. Esto confirma que el ataque DDoS -en castellano, un ataque de denegación de contenido- tuvo como herramienta dispositivos IoT.

Aunque es cierto que no es ninguna novedad: el mayor ataque de este tipo que se recuerda tuvo como objetivo OVH que llegó a recibir un flujo de información de 1 Tbps de más de 145.000 cámaras IoT y equipos grabadores. El motivo es sencillo: hay una enorme cantidad (en 2020 habrá más de 80.000 millones de dispositivos conectados) de los que un gran porcentaje trabajando durante todo el día) y son fáciles de infectar ya que los fabricantes no están tomándose en serio su seguridad.

De esta forma, con herramientas sencillas como Mirai se pueden escanear la red en busca de dispositivos desprotegidos o que emplean las contraseñas por defecto del fabricante con lo que es muy sencillo coordinar un ataque.

Al fin y al cabo, un DDoS suele consistir en dirigir una enorme cantidad de información contra un objetivo para que este, sobrepasado por el flujo, deniegue el acceso a los usuarios habituales dejando en suspenso el servicio.

De esta forma, la mezcla de una gran cantidad de dispositivos, un bot como Mirai Botnet y un objetivo atractivo al que atacar convierte los DDoS en una forma limpia de sacudir la red. Además, este formato de ataque otorga un mayor anonimato al autor ya que pueden realizar uno o varios grupos a la vez sin ni siquiera coordinarse. La única buena noticia es que el ataque del viernes tuvo como único objetivo bloquear páginas web y servicios relevantes y no realizar un robo de datos -para los que habitualmente se emplean herramientas más sofisticadas-.

La duda que nos surge ahora es que, si se trata de la tercera vez que se realiza un ataque de este tipo en poco tiempo (en agosto de este mismo año una famosa web de seguridad recibió 620 Gbps y quedó inoperativa), ¿a qué esperan las autoridades para legislar sobre la seguridad de los nuevos equipos inteligentes? En cualquier caso, nuestra recomendación, es dejar de utilizar las contraseñas por defecto en equipos domésticos como los módem. Nos protegerá de formar parte en el ataque o de posibles robos de datos.