Hace algunas semanas GOOGLE presentó una sofisticada herramienta basada en Machine Learning que ha denominado: Cloud Armor Adaptive Protection, la cual busca proteger los servicios que se ejecutan en Google Cloud y otras nubes de Internet e incluso algunos sistemas locales, de ataques de Denegación del Servicio, conocido con las siglas: DDoS
La Iniciativa de Google se suma a otras que se están desarrollando globalmente, especialmente por empresas de seguridad informática y que buscan contener un fenómeno que se convirtió en un problema para los proveedores de Internet.
¿Qué son los DDoS y por qué son tan críticos para los ISP?
Los Distributed Denial of Service o “ataque distribuido denegación de servicio”, conocido en el medio informático con las siglas: DDoS, hacen referencia al tipo de ataque delictivo informático, mediante el cual, un grupo de personas o algoritmos computadorizados, atacan indiscriminadamente, a un servidor u ordenador desde muchos puntos de red y generalmente con muchas computadoras, todo de forma simultánea[1].
Este inclemente flujo masivo de datos simultáneos, genera que la capacidad de respuesta del servidor no sea suficiente, lo que provoca un colapso y por consiguiente la suspensión del servicio, desencadenando por lo general, una interrupción, no solo en el website, sino también del servidor que lo soporta.
En términos más sencillos, un servidor no es más que una computadora con una gran capacidad de hardware, software y conectividad, que sin embargo no es infinita (tiene límites), razón por la cual cuando recibe masivamente tráfico que excede su capacidad, se desborda, deja de responder a más peticiones de acceso y puede llegar a bloquearse temporalmente, fenómeno que popularmente se conoce como “caída del servidor”.
El Ataque mediante Bootnets
Un tipo de ataque de DDoS que es mucho más agresivo es el que se realiza mediante BOOTNETS, a través redes y equipos secuestrados o infectados, que se comportan como un enjambre y atacan de forma sistemática.
Cualquier persona desprevenida que haya abierto un archivo infectado en un correo, sin darse cuenta puede tener capturado su computador y ser parte de un ataque de DDoS ordenado por el pirata informático que lo infectó, basta solamente con que tenga la computadora encendida y esté conectada a Internet, incluso muchos archivos troyanos logran evadir el control de los antivirus.
Los Bootnets se han convertido una tendencia especialmente en algunas comunidades de GAMERS, que utilizan estas técnicas para atacar a otras comunidades de jugadores, las cuales han escalado niveles sin precedentes en los últimos años, al punto que en la navidad de 2014 uno de estos ataque dejó por fuera los servidores de las consolas de PlayStation Network y Xbox Live impidiendo que los usuarios de Sony o Microsoft pudieran jugar durante la época navideña[2].
Otro ataque muy sonado ocurrió en 2016, cuando un grupo de piratas mediante sistemas de Bootnets dejó por fuera un gran servidor de DNS perteneciente a DYN de ORACLE, lo que impidió que las webs de todos los servicios registradas, dejaran de ser traducidas a direcciones IP por los equipos de los usuarios, quedando inoperativos en todo el mundo plataformas tan utilizadas como Twitter, Paypal, Play Station Network o CNN[3].
El dolor de cabeza para los ISP
Los proveedores del servicio de Internet son tal vez el público objetivo que más ha sufrido en los últimos años con los ataques de DDoS, por una parte, porque alojan mucho contenido web en sus servidores, factor que se incrementa cuando se trata de comunidades Gamers, es decir que si un ISP aloja en sus servidores información o servicios referidos a este tipo de comunidades, el impacto y volumen de los ataques se incrementa:
“¡Los principales blancos de los ataques de DDOS son las plataformas de videojuegos (Gaming), sitios de comercio electrónico (e-shopping), portales de noticias y oficinas de gobierno!
Durante esta cuarentena, ya sea por la mayor disponibilidad de tiempo libre, como por el aumento de las operaciones virtuales y el crecimiento el acceso remoto, el tráfico hacia los tres primeros se intensifico notablemente.
Aquellos ISPs que alojan es su centro de datos servidores de estos servicio han sido en su gran mayoría víctimas de este tipo de ataques. De las tres probablemente sean las plataformas de GAMING las más vulneradas, por su parte las de venta electrónica son atacadas en días especiales como es el caso de un CyberMonday o Black Friday.
Otra causa común de ataque, es cuando un medio publica una noticia polarizada que no coincide con la ideología del atacante”.
Juan Ramón Garcia Bish en foro Virtual Andinalink sobre Ciberseguridad[4]
Por otra parte, los ISP como prestadores de servicios de conectividad de última milla, se convierten en un eslabón muy visible y por consiguiente vulnerable en la provisión de los servicios de Internet, incluso, se ha documentado que, en ocasiones, cuando un colectivo de usuarios con alto nivel de conocimiento y experiencia (Hackers), no se sienten conformes con los servicios de su proveedor de Internet, lo atacan sistemáticamente como una forma de represalia.
Al respecto un mito muy generalizado es que solo los pequeños ISP sufren este tipo de ataques, sin embargo, los reportes de compañías de seguridad en la red, han puesto en evidencia que las redes de CLARO pertenecientes al grupo América Móvil han sido en múltiples ocasiones vulneradas, ante una pobre capacidad de respuesta de la compañía perteneciente a Carlos Slim[5], situación que han padecido de igual forma sus competidores directos: Tigo y Movistar.
La Nueva herramienta de Google
Google Cloud Armor Adaptive Protection, ha sido anunciada por Google como una de las más audaces y efectivas estrategias implementadas hasta ahora, para evitar los ataques de DDoS. Según anunció la compañía californiana, esta nueva herramienta funciona aprendiendo y analizando cómo se comporta el tráfico normal de aplicaciones y servicios, por lo que puede detectar rápidamente cuando algo tiene un comportamiento extraño:
“Por ejemplo, los atacantes con frecuencia dirigen un gran volumen de solicitudes a páginas dinámicas como resultados de búsqueda o informes en aplicaciones web con el fin de agotar los recursos del servidor para generar la página”, explican Peter Blum, responsable de administración de productos de seguridad de red de Google, y Sam Lugani líder de seguridad de Google Cloud Platform y Google Workspace.
Adaptive Protection, esencialmente lo que hace es generar automáticamente una alerta cuando sospecha que se está produciendo un ataque. Adicionalmente y de acuerdo con lo publicado por el Blog especializado XATACA[6], esta herramienta va más allá, al proporcionar contexto sobre por qué cree que el tráfico que ha detectado es malicioso y proporciona reglas para mitigar el ataque.
Es decir, que el software desarrollado por Google ofrece todo el contexto necesario, con trazabilidad y antecedentes, para que los grupos y personas responsables de la seguridad puedan tomar una decisión sobre cómo detener el tráfico potencialmente malicioso, sin tener que pasar horas analizando los registros de tráfico para clasificar primero el ataque en curso.
En Conclusión, Los ataques de Denegación del Servicios DDoS se han convertido en los últimos años en una de las técnicas más utilizadas por los piratas informáticos para causar estragos en los servidores en la red y dejar por fuera servicios esenciales de conectividad, siendo justamente los ISP los más afectados con estos ataques, sin embargo nuevas tecnologías como Armor Adaptive Protection, de Google, prometen mediante la Inteligencia Artificial, convertirse en una eficaz herramienta para prevenir y solventar este tipo de actividad delictiva.
[1] Artículo especializado de Lumen sobre ataques de Denegación del Servicio DDoS
[2] Artículo Periodístico sobre el ataque a las plataformas de consolas de Videojuegos
[3] Artículo periodístico sobre el Ataque de DYN
[4] Afirmación realizada por el profesor Juan García durante el Webinar de Ciberseguridad de Andinalink
[5] Reporte de Ciberseguridad de América Latina y El Caribe
[6] Artículo del Blog Especializado XATACA sobre los ataques de DDoS y la nueva herramienta de Google