¿Qué es una botnet de DDoS?

Una botnet DDoS es un grupo o red de ordenadores o dispositivos de Internet de las cosas (IoT) comprometidos que los actores maliciosos utilizan para lanzar ataques de denegación de servicio distribuido (DDoS). Estos ataques tienen como objetivo saturar el objetivo con tráfico, interrumpiendo su funcionalidad normal y dejándolo inaccesible para usuarios legítimos. 

Botnet frente a botnet DDoS

Una botnet es un grupo de ordenadores o dispositivos de Internet de las cosas (IoT) que están infectados y bajo el control de un hacker (también conocido como "botmaster" o "bot herder"). Permiten a un botmaster lanzar ataques a gran escala a través de los recursos informáticos agrupados que la botnet pone a su disposición. 

Una botnet DDoS es simplemente una botnet utilizada específicamente para llevar a cabo ataques DDoS.

¿Qué es un ataque de DDoS?

Un ataque de denegación de servicio distribuido (DDoS) es una forma de ciberataque en la que un atacante utiliza numerosos ordenadores comprometidos (una botnet DDoS) para llevar a cabo un ataque volumétrico, con el objetivo de saturar un sistema objetivo. Este tipo de ataque puede dejar el objetivo (un servicio o servidor) inaccesible para los usuarios legítimos. Puedes imaginar un ataque DDoS como una inundación de tráfico ilegítimo de varias fuentes que incapacita eficazmente el sistema objetivo.  

¿Cómo se crean las botnets?

Para crear una botnet, en primer lugar, los botmasters infectan una red de dispositivos que usarán para llevar a cabo ataques. Para infectar dispositivos, se adentran aprovechando vulnerabilidades de software o firmware, o bien mediante malware descargado desde un enlace o un archivo infectado. Una vez que un dispositivo está infectado, el botmaster puede utilizar los recursos computacionales combinados para llevar a cabo sus ataques, a menudo sin que el propietario del dispositivo lo sepa. Aunque no hay un número definido de dispositivos infectados que sea necesario para crear una botnet, cuanto más extensa sea la red de dispositivos infectados, mayor será el impacto potencial del ataque. Una vez que quedan infectados los dispositivos, hay dos modelos para controlarlos.

¿Cómo se controlan las botnets?

Modelo cliente-servidor

Controlar los bots requiere una infraestructura que establezca líneas de comunicación entre el servidor (el botmaster) y sus clientes (tus dispositivos infectados). El modelo cliente-servidor fue el primero en establecerse y funciona mediante la creación de un servidor centralizado (servidor de comando y control o C&C) para distribuir instrucciones. Dicho de otro modo, en el modelo cliente-servidor, los clientes se limitan a seguir las instrucciones que dé el servidor de C&C del botmaster. La dependencia crea el mayor inconveniente del modelo porque si se descubre y se desactiva el servidor C&C, toda la botnet queda inoperativa.

P2P y mando y control descentralizado

Los modelos entre iguales (P2P) y de C&C descentralizados surgieron para evitar el inconveniente de la centralización del modelo cliente-servidor. En este nuevo modelo cualquier cliente puede funcionar como servidor. En vez de mandarse instrucciones desde un punto, cualquier cliente de la botnet puede distribuirlas. Aunque este modelo ralentiza el envío de instrucciones, prácticamente imposibilita el desmantelamiento de la botnet.

¿Qué tipo de ataques permiten las botnets?

Las botnets pueden llevar a cabo cualquier ataque que pueda realizar un solo ordenador, pero la diferencia radica en la escala del ataque. Los ataques cuya fuerza reside en el volumen, como ataques de DDoS, de apropiación de cuentas o de envío de contenido no deseado, son los más habituales.  Entre los ataques más conocidos de botnets encontramos los ataques de DDoS de 2016 a cargo de la botnet Mirai, que hizo caer sitios web populares como Twitter, Netflix y Reddit, así como el uso por parte de la botnet 3ve de unos dos millones de ordenadores para realizar clics fraudulentos por valor de casi 30 millones de dólares.  

¿Cómo puedes proteger tus aplicaciones de las botnets DDoS?

Proteger tus aplicaciones contra las botnets DDoS es sinónimo de proteger tus aplicaciones contra los ataques DDoS. Las mejores prácticas incluyen: 

  1. Entender los patrones de tráfico: la primera línea de defensa es crear un perfil de tráfico. Este perfil incluye las características del tráfico "bueno" y establece las expectativas para los volúmenes de tráfico esperados en toda tu red.  Si supervisas el tráfico a través de este perfil, podrás configurar las reglas para que acepten todo el tráfico que pueda manejar tu infraestructura sin que ello afecte a tus usuarios finales. 

  2. Utilizar la limitación de frecuencia: la limitación de frecuencia proporciona una línea de base, y luego puedes implementar métodos de detección avanzados para recibir el tráfico que ha sido validado mediante el análisis de variables adicionales. Basta un pequeño fallo de seguridad para causar un daño irreparable a tu red y servidores y llevar a tus empleados por las cinco etapas emocionales de un ataque DDoS. Así que haz las cosas bien desde el principio.

  3. Minimizar la exposición: una de las maneras más fáciles de mitigar los ataques DDoS es reducir la superficie que puede ser atacada, lo que en última instancia reduce las opciones para los atacantes y te permite diseñar contramedidas y protecciones en un solo lugar. Debes asegurarte de que no expones tus aplicaciones y servidores a puertos, protocolos y otras aplicaciones de las que no esperas comunicación. En la mayoría de los casos, puedes lograrlo colocando tus recursos de infraestructura detrás de un proxy red de distribución de contenidos, que restringe el tráfico de Internet directo a ciertas partes de tu infraestructura. En otros casos, puedes utilizar un firewall o listas de control de acceso (ACL) para controlar el tráfico que llega a aplicaciones específicas. 

  4. Desplegar un cortafuegos basado en aplicaciones: si tu aplicación tiene acceso a Internet, te atacan varias veces al día. De media, una aplicación con conexión a Internet es atacada cada 39 segundos. Una buena práctica es utilizar un Cortafuegos de aplicación web (WAF) contra ataques. Un buen punto de partida es mitigar activamente los diez principales ataques según OWASP, y luego deberías poder crear un perfil de tráfico personalizado contra las peticiones adicionales no válidas. Por ejemplo, estas peticiones pueden hacerse pasar por tráfico legítimo de IP maliciosas conocidas o de una región geográfica del mundo en la que no operas. Un WAF también es útil para mitigar los ataques, ya que puedes aprovechar el soporte especializado para analizar la heurística del tráfico y crear una protección personalizada para tu aplicación.

  5. Escalar según el diseño: aunque no es la mejor solución de forma aislada, aumentar tu capacidad de ancho de banda (tránsito) o la capacidad de tu servidor (computacional) para absorber y mitigar los ataques puede ser una opción. Cuando diseñes y compiles tus aplicaciones, asegúrate de tener conectividad redundante a internet para lidiar con los picos de tráfico. Una práctica común es usar equilibrio de carga para supervisar y cambiar continuamente las cargas entre los recursos disponibles para evitar la sobrecarga de cualquier punto. Además, puedes crear tus aplicaciones web pensando en una CDN, añadiendo una capa a la infraestructura de la red que será la que distribuya contenido más cerca de tus usuarios finales. La mayoría de los ataques de DDoS son exponenciales y consumen enormes cantidades de recursos, de modo que tu aplicación debe adaptarse con agilidad al volumen del ataque, ya sea para crecer o menguar. Una CDN, al estar descentralizada, reparte el ataque hasta que se absorbe con facilidad. Las CDN también desbloquean métodos adicionales para frustrar los ataques más sofisticados. Desarrollar un perfil de ataque permite a las CDN eliminar o ralentizar el tráfico malicioso. 

Puedes leer más sobre cómo mitigar un ataque DDoS con nuestras directrices de mejores prácticas para DDoS

Así te ayuda Fastly

  • Mitigación automática de ataques: la plataforma detecta y neutraliza los ataques DDoS sin intervención manual, garantizando la disponibilidad constante del servicio.

  • Capacidad global masiva: con más de 350 Tbps de capacidad de red, Fastly puede resistir incluso los ataques volumétricos más grandes, manteniendo la resiliencia de la infraestructura durante eventos extremos.

  • Monitorización dinámica del tráfico: la evaluación continua de los patrones de tráfico ayuda a detectar anomalías y abordar las amenazas de manera efectiva antes de que interrumpan tus operaciones.

  • Tiempo de respuesta rápido: la plataforma DDoS de Fastly bloquea los ataques en cuestión de segundos, minimizando las interrupciones para tus usuarios finales.

  • Técnicas de identificación adaptativa: mediante métodos innovadores como el desenmascaramiento de atributos, Fastly identifica y detiene ataques sofisticados y en evolución que eluden las defensas convencionales.

  • Soporte versátil de arquitectura: la plataforma de protección DDoS se despliega rápidamente en diversas infraestructuras, adaptándose a los cambios bajo demanda.

  • Experiencia de plataforma integrada: Fastly ofrece una solución independiente que se integra con otros servicios de Fastly Edge Cloud según sea necesario.

  • Operaciones rentables: Fastly cobra según el tráfico legítimo, asegurando que no te veas agobiado por los gastos derivados de picos de ataques.

  • Protección resiliente de aplicaciones y API: Fastly protege las aplicaciones y las API del deterioro del rendimiento y las interrupciones, asegurando una distribución de servicios fiable incluso durante ataques.

  • Despliegue simple: la solución se activa con un solo clic, proporcionando protección inmediata para empresas de cualquier tamaño.

Obtén más información sobre cómo la protección DDoS de Fastly puede ayudarte a asegurar tu infraestructura digital y mantener un servicio ininterrumpido solicitando una demostración

Aprende sobre el WAF de última generación de Fastly

Solicita una demostración