Blogs de la ICANN

Los blogs de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

Cómo informar ataques DDoS

25 de abril de 2013
Por Dave Piscitello

Dave Piscitello, en representación del Equipo de Seguridad de la ICANN

Los ataques distribuidos de denegación de servicio (DDoS) constituyen un serio problema. Si bien el papel que desempeña la Corporación para la Asignación de Números y Nombres en Internet (ICANN) en cuanto a la mitigación de este tipo de amenazas es limitado, el Equipo de Seguridad brinda los siguientes consejos a fin de instruir a los usuarios sobre cómo informar un ataque DDoS.

Los ataques DDoS se han incrementado en cuanto a escala, intensidad y frecuencia. La gran variedad de motivos que suscitan estos ataques –políticos (hacktivismo), criminales (coerción) o sociales (maldad)– convierte a cada empresa u organización con presencia en Internet en un posible blanco. Asimismo, dado que la infraestructura de Internet es compartida –ya sea que se trate de alojamiento, del Sistema de Nombres de Dominio (DNS) o de banda ancha– muchas empresas u organizaciones corren el riesgo de transformarse en daño colateral. Si observa que su sitio web u organización se encuentra bajo ataque, es importante que lo informe rápidamente a quienes estén en mejores condiciones de ayudarlo a mitigar el daño, enfrentar el ataque y restaurar el servicio normal.

Estoy bajo ataque. ¿Qué debo hacer? ¿A quién debo llamar?

Cualquier servicio de Internet –web, DNS, llamadas vía Internet, correo– puede ser blanco de ataques DDoS. Si su organización utiliza un proveedor de alojamiento para un servicio que está bajo ataque, primero contáctese con el proveedor de alojamiento. Si su organización aloja la red o el servicio de Internet que está bajo ataque, primero tome medidas para contener o mitigar el ataque. Luego, llame al proveedor de servicio que le brinda acceso a Internet a su red. La mayoría de los proveedores de alojamiento y los proveedores de servicios de Internet (ISP) publican en sus sitios web contactos para casos de emergencia, y muchos de ellos al menos incluyen números de contacto general en las facturas. Si usted sólo tiene un número de contacto general, explique al representante de atención al cliente que su organización está bajo ataque y pídale que derive la llamada a un técnico de operaciones que tenga capacidad y autoridad para investigar.

Manos amigas

El tráfico asociado a un solo ataque DDoS puede provenir de cientos o miles de fuentes de ataque (usualmente, computadoras o servidores comprometidos). En muchos casos, su proveedor de alojamiento o su proveedor de acceso a Internet debería actuar en nombre suyo (y por propio interés). Este proveedor se contactará con sus propios proveedores y con los ISP que enrutan el tráfico desde las fuentes del ataque DDoS, a fin de notificar a estos operadores sobre la naturaleza y el supuesto origen del ataque. Estos operadores investigarán y, en general, revocarán las rutas o tomarán otras medidas para eliminar o descartar el tráfico cercano a la fuente.

Si no encuentra ningún contacto, o si los contactos que encuentra no responden, contáctese con un equipo de respuesta ante emergencias, incidentes informáticos o violaciones de seguridad (CERT/CIRT/CSIRT), o bien con un equipo de Trusted Introducer (TI). Las organizaciones CERT/CIRT (consulte el listado por país aquí) o los equipos TI investigarán el ataque, notificarán a los proveedores de alojamiento o ISP cuyos recursos se estén utilizando para realizar el ataque, intercambiarán información con ellos y trabajarán con todas las partes afectadas para coordinar acciones de mitigación efectivas.

¿Debo contactar a las fuerzas de seguridad?

Contáctese con las fuerzas de seguridad de su país si considera que se ha cometido un delito. Por ejemplo, contacte a las fuerzas de seguridad si su organización recibió una amenaza antes del ataque, o si se le exigió una suma de dinero a cambio de no ser atacada, o si considera que infraestructura crítica o la prestación de un servicio crítico (como el número de emergencias 911) se encuentran amenazadas.

Contáctese con las fuerzas de seguridad para denunciar un delito, no para mitigar un ataque. Los ataques DDoS son delitos en muchas jurisdicciones. Al hacer una denuncia, usted y otras víctimas brindan información valiosa que podría ser relevante en investigaciones posteriores o en el enjuiciamiento de los autores del ataque.

Brinde buena información

A nivel operacional, usted, su proveedor de alojamiento o su ISP deben reunir toda la información que sea posible relacionada con el ataque. El foro Operations Security Trust recomienda reunir la siguiente información:

  1. Brinde toda la información de tiempo que sea posible: identifique el inicio y el final del ataque, si los ataques se repiten y si se observan patrones o ciclos en los ataques.
  2. Proporcione toda idea o sospecha que tenga sobre la naturaleza del ataque. ¿Parece estar relacionado con algún evento geopolítico? ¿Recibió amenazas por correspondencia antes del ataque o durante él? Si así fue, ¿de qué índole era la amenaza?
  3. Brinde información detallada de tráfico, incluido lo siguiente: tipo de tráfico (ICMP, DNS, TCP, UDP, aplicación), direcciones IP y números de puerto fuente y de destino, cantidad de paquetes por segundo, volumen de los paquetes y ancho de banda consumido por el tráfico del ataque.
  4. Describa las características particulares que observa del tráfico o los paquetes. ¿El ataque tiene por objetivo un host o dominio virtual en particular? ¿Qué ha podido observar a partir de los encabezados del protocolo de aplicación? ¿Ha observado algún patrón inusual respecto de los ajustes de las marcas de seguimiento en los protocolos subyacentes (TCP, UDP, ICMP, IP)?
  5. Identifique todos los cambios que observe en el ataque con el correr del tiempo (por ejemplo, volumen de paquetes, velocidades, IP únicas por intervalo de tiempo, protocolos, etc.). Estos pueden indicar que el atacante está reaccionando ante las acciones de mitigación implementadas por usted o por terceros.
  6. Proporcione su evaluación del impacto. Por ejemplo, explique si está manejando el ataque mediante acciones de mitigación y asistencia, o si sus servicios o rendimiento se encuentran {moderadamente, gravemente} afectados, o si sus servicios fueron interrumpidos por completo.

No espere a ser víctima

Si aún no ha elaborado un plan para responder ante un ataque DDoS, considere hacerlo. El artículo Cómo prepararse para el (inevitable) ataque DDoS brinda un listado de contactos, información y estrategias de mitigación. A continuación, brindamos algunos recursos útiles para comprender mejor los distintos tipos de ataques DDoS, las técnicas de mitigación y la forma en que su organización puede ayudar a reducir la amenaza global de estos ataques.

Authors

Dave Piscitello