Un protocolo es un conjunto de reglas o estándares que dictan cómo se transmite, recibe e interpreta la información o los datos entre dispositivos, sistemas o partes. Estos protocolos se pueden considerar como una especie de «idioma común» que garantiza que los ordenadores, las redes o las organizaciones puedan comunicarse de forma eficaz, incluso cuando utilizan tecnologías diferentes para hacerlo.
En el ámbito de la informática y las redes, los protocolos lo definen todo: desde cómo se conectan los dispositivos a Internet hasta cómo se envían los correos electrónicos, e incluso cómo se cargan las páginas web de forma segura.
¿Por qué son importantes los protocolos?
Los protocolos son importantes fundamentalmente por tres razones:
Estandarizan los procesos. Al seguir las «reglas» predeterminadas, los desarrolladores y los proveedores de redes pueden evitar conflictos e ineficiencias.
Permiten la comunicación entre sistemas. Los protocolos permiten que diferentes tipos de hardware y software hablen el mismo «idioma», lo que garantiza la compatibilidad entre dispositivos o sistemas.
Garantizan seguridad y fiabilidad. Muchos protocolos incluyen medidas de seguridad integradas, como cifrado y detección de errores, que ayudan a proteger los datos.
¿Qué tipos de protocolos hay?
Algunos de los protocolos más habituales son:
Protocolos de red
Los protocolos de red permiten que los dispositivos se conecten y compartan datos a través de las redes (e Internet).
El TCP/IP (Protocolo de Control de Transmisión/Protocolo de Internet) es la base de Internet, ya que ayuda a gestionar la transferencia de datos y el direccionamiento.
El HTTP/HTTPS (Protocolo de Transferencia de Hipertexto) carga páginas web con HTTPS y proporciona una conexión segura y cifrada.
El DNS (Sistema de Nombres de Dominio) traduce los nombres de dominio (como fastly.com). en direcciones IP que los ordenadores puedan entender.
Protocolos de correo electrónico
Los protocolos de correo electrónico se usan para enviar y recibir correos. El SMTP (Protocolo Simple de Transferencia de Correo) sirve para enviar mensajes, mientras que el IMAP y el POP3 se usan para recibirlos.
Protocolos de seguridad
Los protocolos de seguridad ayudan a proteger los datos y las comunicaciones.
El protocolo SSL/TLS (Secure Sockets Layer / Transport Layer Security) cifra el tráfico de Internet.
El protocolo IPSec (Internet Protocol Security) protege el intercambio de datos a través de las redes.
Protocolos de aplicaciones y datos
Estos protocolos establecen las normas sobre la forma en que las aplicaciones intercambian información. Algunos ejemplos son el FTP (Protocolo de Transferencia de Archivos) para compartir archivos y el MQTT para la comunicación en el IoT.
¿Cómo funcionan los protocolos?
Los protocolos funcionan dividiendo la comunicación en pasos estructurados, lo que contribuye a garantizar que los datos se transmitan de forma precisa, eficiente y segura.
Se establece una conexión: los dispositivos comprueban si son compatibles y, básicamente, «acuerdan» cómo se van a comunicar.
Los datos se transfieren: la información se divide en «paquetes» (fragmentos más pequeños) y, a continuación, se envía y se vuelve a ensamblar en su destino.
Se comprueba que los datos no tengan errores: se analizan los datos enviados para detectar posibles errores y, según su naturaleza, se cifran para garantizar la privacidad.
Finalización: una vez finalizada la comunicación, se cierra la conexión.
¿Qué son las vulnerabilidades de protocolo?
Muchos protocolos antiguos se diseñaron sin tener en cuenta aspectos de seguridad. De ahí que sean vulnerables a los ataques y a que se aprovechen sus vulnerabilidades. Es importante contar con prácticas y herramientas de seguridad para evitar que se aprovechen con fines maliciosos.
Entre los tipos más habituales de vulnerabilidades de protocolo se encuentran:
Uso indebido de protocolos: filtración de datos y comando y control. Los atacantes suelen utilizar protocolos legítimos para comunicarse con dispositivos comprometidos. Esta práctica puede resultar muy difícil de detectar. Dos tipos habituales son:
Túneles HTTP/HTTPS. Los atacantes usan malware para comunicarse con servidores de comando. Ocultan el malware dentro del tráfico web normal, lo que hace que sea muy difícil para los cortafuegos bloquearlo. Cualquier intento de bloquearlo puede provocar importantes interrupciones en el tráfico legítimo.
Túneles DNS. Los atacantes codifican datos o comandos dentro de las consultas y respuestas DNS. Esta técnica les permite eludir los controles de seguridad habituales, ya que el tráfico DNS suele considerarse de confianza por defecto.
2. Ataques «man-in-the-middle» (MitM) contra protocolos inseguros. Los atacantes pueden interceptar o alterar el tráfico cuando los protocolos no cuentan con políticas adecuadas de autenticación o cifrado. Dos tipos habituales son:
Suplantación de ARP y secuestro de sesión. Los atacantes usan el Protocolo de Resolución de Direcciones (ARP) para engañar a los dispositivos y que envíen el tráfico a través de ellos. Así pueden «espiar» o modificar datos confidenciales.
Aprovechamiento de HTTP (sin HTTPS). Si no hay un cifrado adecuado, los atacantes pueden leer o introducir scripts maliciosos en el tráfico web.
3. Denegación de Servicio (DoS) mediante el uso indebido de protocolos. Los atacantes pueden sobrecargar o manipular los protocolos para interrumpir los servicios. Dos tipos habituales son:
Ataque de inundación SYN (vulnerabilidad de TCP). Los atacantes envían cantidades masivas de solicitudes de conexión TCP incompletas, lo que satura el servidor de destino.
Amplificación de DNS. Aprovechando los solucionadores de DNS abiertos, los atacantes envían pequeñas consultas que generan respuestas masivas, lo que satura al objetivo con tráfico.
4. Ataques de degradación de protocolo y de suplantación. Los atacantes pueden engañar a los sistemas para que utilicen versiones más débiles de los protocolos o hacerse pasar por protocolos legítimos. Los dos tipos más habituales son:
Ataques de degradación SSL/TLS. Los atacantes pueden forzar a un navegador y servidor a usar estándares de cifrado obsoletos e inseguros, lo que facilita la interceptación.
Suplantación de SMTP. Los delincuentes se aprovechan de los protocolos de correo electrónico con autenticación débil o mal configurada, lo que les permite enviar correos de phishing que parecen provenir de fuentes de confianza.
¿Cómo puedes defenderte de los ataques de protocolo?
Hay varias medidas que puedes tomar para protegerte contra los ataques al protocolo.
Actualízate a protocolos seguros. Muchos ataques se aprovechan de protocolos antiguos, sin cifrar u obsoletos. Pasarse a alternativas modernas y seguras reduce el riesgo de forma significativa. Los protocolos seguros incorporan cifrado y autenticación, lo que evita el espionaje, la manipulación y la suplantación de identidad. Te recomendamos:
Sustituir HTTP por HTTPS en todo el tráfico web (activa el cifrado TLS).
Sustituir FTP por SFTP o FTPS para realizar transferencias de archivos seguras.
Usar DNS sobre HTTPS (DoH) o DNSSEC para evitar secuestros de DNS.
Deshabilitar o actualizar los protocolos antiguos.
Aplica parches y actualiza los sistemas. De esta forma, se resuelven las vulnerabilidades conocidas. Los atacantes suelen aprovechar los sistemas sin parches o mal configurados porque son objetivos fáciles. Te recomendamos:
Actualizar todos los sistemas y dispositivos de red con los parches de seguridad. Comprueba periódicamente qué protocolos y puertos están expuestos y desactiva los que no se utilicen.
Reforzar las configuraciones: exige el uso de cifrados fuertes y desactiva las versiones débiles de SSL/TLS.
Implementa la segmentación de red y el modelo de confianza cero. La segmentación ayuda a limitar el alcance de la propagación de un ataque exitoso a un protocolo. El uso del modelo de confianza cero garantiza que TODOS los usuarios y dispositivos se verifiquen siempre, incluso dentro de la red. Los firewalls y la microsegmentación permiten controlar a qué protocolos y servicios se puede acceder y quién puede hacerlo.
Vigila el tráfico de protocolo sospechoso. Una herramienta de detección avanzada puede ayudarte a identificar ataques camuflados entre el tráfico normal. Te recomendamos:
Desplegar sistemas de detección y prevención de intrusiones (IDS/IPS) para supervisar el tráfico en busca de anomalías.
Usar la inspección profunda de paquetes (DPI) para detectar cargas útiles maliciosas ocultas en protocolos como DNS o HTTP.
Registrar y analizar consultas DNS inusuales, peticiones HTTP o un gran volumen de tráfico saliente, lo cual es un indicio de fuga de datos.
Defiéndete contra los ataques de denegación de servicio (DoS) a través de protocolos. Los atacantes pueden aprovechar protocolos como el DNS o el TCP para saturar los sistemas. Te recomendamos:
Usar la limitación de frecuencia y el filtrado de tráfico en el firewall o en la capa de la aplicación.
Emplear soluciones de DDoS Protection.
Configurar los servidores para gestionar los patrones de tráfico anormales.
Formar a los empleados y asegurar los puntos de conexión. Los protocolos también pueden ser objeto de abusos mediante la ingeniería social y el compromiso de los dispositivos finales. Te recomendamos:
Formar a los usuarios para que reconozcan los ataques de suplantación de identidad que aprovechan los protocolos de correo electrónico.
Usar la detección y respuesta de puntos finales (EDR) para detectar el malware mediante canales de protocolo encubiertos.
Aplicar la autenticación multifactor (MFA) para limitar los ataques basados en credenciales.
Así te ayuda Fastly
Para disfrutar de una seguridad integral contra ataques de DDoS hay que enfrentarse a obstáculos relacionados con el gasto, la complejidad, los falsos positivos, la evolución de las amenazas y el uso intensivo de recursos. Afortunadamente, la solución de protección frente a DDoS basada en la nube de Fastly ayuda a superar todos y cada uno de estos obstáculos.
Veamos cuáles son las principales ventajas de DDoS Protection de Fastly:
Costes más bajos: Fastly ofrece una protección frente a DDoS muy rentable que está incluida en sus servicios de CDN.
Opciones de pago flexibles: te permiten elegir el paquete que mejor se ajuste a tus necesidades, todo ello sin límite de uso. Consolidar la seguridad, la CDN y los servicios de edge cloud en un solo proveedor es la opción más rentable.
Menor complejidad: la solución de Fastly no requiere configuraciones complejas ni ajustes manuales por tu parte. La red absorbe automáticamente los ataques al nivel 3/4 y el WAF de última generación se encarga de los ataques al nivel 7.
Reducción de falsos positivos: el motor de detección avanzado SmartParse de Fastly, clasifica las peticiones con precisión y reduce al mínimo los falsos positivos que pueden cortar el paso a los usuarios legítimos.
Evolución continua: Fastly mejora la detección y la mitigación basándose en información fiable, lo que te permite adelantarte a las tendencias de ataques globales en constante evolución.
Uso eficiente de recursos: la enorme red de 336 Tbit/s de Fastly tiene la capacidad necesaria para absorber incluso ataques extraordinarios sin que el rendimiento se vea afectado. A esto hay que sumarle la mitigación automatizada en el edge, que también reduce la carga en el origen.
Disfruta de una mayor seguridad y un mejor rendimiento con la protección integral contra ataques DDoS de Fastly. Más información sobre las soluciones de DDoS Protection de Fastly.