El Gobierno de Estados Unidos ha lanzado nuevas pautas para la prevención de ataques de denegación de servicio distribuido (DDoS) dirigidas a entidades del sector público, con el objetivo de evitar interrupciones en los servicios críticos.

El documento está diseñado como un recurso integral para abordar las necesidades y desafíos específicos enfrentados por agencias gubernamentales federales, estatales y locales en la defensa contra ataques DDoS.

La advertencia señaló que los ataques DDoS, donde una multitud de computadoras comprometidas envían una avalancha de tráfico o solicitudes al sistema objetivo para dejarlo no disponible para sus usuarios, son difíciles de rastrear y bloquear.

Este vector es comúnmente utilizado por atacantes motivados políticamente, incluyendo hacktivistas y grupos estatales, con frecuentes objetivos en sitios web gubernamentales.

Por ejemplo, hackers vinculados a Rusia y Ucrania han golpeado con frecuencia sitios web gubernamentales opuestos utilizando DDoS desde la invasión del Kremlin al país en febrero de 2022.

En octubre de 2023, el sitio web oficial de la Familia Real del Reino Unido fue sacado de línea por un incidente de DDoS, el ataque fue reclamado por el grupo hacktivista ruso Killnet.

Investigaciones recientes han demostrado que los ataques DDoS se han vuelto más poderosos y a veces se utilizan como un método de extorsión por parte de actores de amenazas.

Tres tipos de ataques DDoS.

El aviso conjunto de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Buró Federal de Investigaciones (FBI) y el Centro de Información y Análisis de Compartición de Información Multi-Estado (MS-ISAC), destacó tres tipos principales de ataques DDoS para los que las entidades del sector público deben estar preparadas:

  1. Ataques basados en volumen: Estos ataques tienen como objetivo consumir el ancho de banda disponible o los recursos del sistema objetivo al abrumarlo con un volumen masivo de tráfico.
  2. Ataques basados en protocolo: Aquí, los atacantes se centran en implementaciones de protocolos débiles para degradar el rendimiento del objetivo o hacer que funcione incorrectamente.
  3. Ataques basados en capa de aplicación: Estos ataques apuntan a vulnerabilidades en aplicaciones o servicios específicos que se ejecutan en el sistema objetivo, consumiendo su poder de procesamiento o causando su mal funcionamiento.

Cómo prevenir incidentes de DDoS.

El aviso enfatizó que, si bien es imposible predecir cuándo ocurrirá un ataque DDoS, hay pasos que se pueden tomar para reducir las posibilidades de ser afectado. Estos incluyen:

  • Utilizar evaluaciones de riesgos para identificar vulnerabilidades potenciales en la infraestructura de red que puedan ser explotadas por atacantes DDoS.
  • Implementar herramientas robustas de monitoreo de redes y sistemas de detección para identificar rápidamente patrones de tráfico sospechosos.
  • Integrar un desafío de Captcha para diferenciar entre humanos y bots automatizados.
  • Configurar los firewalls para filtrar patrones de tráfico sospechosos y/o bloquear el tráfico de direcciones IP maliciosas conocidas.
  • Parchear y actualizar regularmente todo el software, sistemas operativos y dispositivos de red.
  • Educar a los empleados sobre los ataques DDoS y cómo reconocer y reportar actividades sospechosas.

Cómo responder y recuperarse de un ataque DDoS.

El aviso enfatizó la importancia de poner en marcha medidas para mantener la disponibilidad del servicio durante un ataque DDoS. Estos incluyen:

  • Considerar aumentar la capacidad de ancho de banda para manejar picos repentinos de tráfico durante un ataque.
  • Implementar soluciones de balanceo de carga para distribuir el tráfico entre múltiples servidores o centros de datos.
  • Establecer mecanismos de redundancia y conmutación por error para redirigir el tráfico hacia recursos alternativos.
  • Realizar copias de seguridad regulares de datos críticos para permitir una recuperación rápida y minimizar la pérdida de datos potencial.

El gobierno de EE. UU. también instó a las entidades del sector público a desarrollar un plan de respuesta a incidentes integral que establezca los pasos que se deben tomar en caso de un ataque DDoS. Estos planes deben abarcar:

  • Notificar a los proveedores de servicios de Internet o de alojamiento sobre el ataque, ya que pueden ayudar a mitigar el impacto.
  • Mantener informados a todos los interesados durante un incidente, incluidos los equipos internos, los clientes y los proveedores de servicios de terceros.
  • Utilizar un servicio de red de distribución de contenido (CDN) para distribuir contenido entre múltiples servidores y centros de datos geográficamente.
  • Documentar tanta información como sea posible sobre el ataque, incluidos sellos de tiempo, direcciones IP y cualquier registro o alerta. Esto puede ayudar en el análisis posterior al incidente y en la presentación del incidente a las autoridades.
  • Aprender del ataque a través de un análisis posterior al incidente y actualizar el plan de respuesta a incidentes y las medidas de seguridad en consecuencia.

Fuente: https://www.cisa.gov/news-events/alerts/2024/03/21/cisa-fbi-and-ms-isac-release-update-joint-guidance-distributed-denial-service-techniques