Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Protección híbrida DDoS: la arquitectura más eficaz frente a ataques multivector
El ataque de Denegación de Servicio es la amenaza más común de indisponibilidad de Servicios, y la protección híbrida desde la red de operador combinada con solución local, es la mejor manera de protegerse.
El nuevo escenario de los ataques DDoS
Los ataques de Denegación de Servicio Distribuidos (DDoS) buscan provocar indisponibilidad de servicios mediante flujos sostenidos de paquetes desde lugares distribuidos hacia un direccionamiento de una compañía, buscando colapsar los servicios para crear indisponibilidad de los mismos, provocando impacto económico, o deterioro de imagen de la compañía atacada.
Recientemente, en un post anterior, describimos en detalle qué son los ataques DDoS, qué tipos de ataques existen, qué debe aportar una solución de protección de ataques DDoS, y la necesidad de adquirir un servicio gestionado, desde una compañía que, desde una posición de red idónea, y con personal altamente cualificado ante este tipo de ataques, protegerán adecuadamente el tráfico de la red frente a ataques DDoS.
Pero en la actualidad están surgiendo nuevos vectores de ataque y ataques multivector.
Los ataques DDoS ya no son estáticos ni de un solo vector: hoy son dinámicos, multivector y cada vez más sofisticados.
Los ciberdelicuentes y los botmasters siguen explotando vulnerabilidades y buscando nuevas formas de secuestrar redes y obtener acceso a los datos de las empresa. A diario podemos ver en los medios de comunicación titulares sobre ataques DDoS muy sofisticados y que causan un gran impacto.
Todo el tráfico y los datos que circulan por las redes están bajo la constante amenaza de piratas informáticos que lanzan ataques DDoS multivector altamente sofisticados. La cantidad de ataques DDoS ha aumentado a todos los niveles, desde ataques de un solo vector hasta aquellos que utilizan hasta 25 vectores. En particular, se nota la creciente prevalencia de ataques de más de 15 vectores. Los atacantes a menudo utilizan entre 15 y 25 vectores para lanzar ataques complejos y de gran volumen de ataque diferentes dirigidos a diferentes capas de empresas e infraestructuras de proveedores de servicios.
Además, la utilización de botnets que lanzan ataques complejos y de gran escala ahora está automatizada. Numerosos ataques van dirigidos a infraestructuras clave como enrutadores, firewalls, DNS y concentradores VPN, y las empresas no disponen de infraestructura adecuada para atenuarlos o resolverlos adecuadamente.
Actualmente, se ha sobrepasado el umbral de los 10 millones de ataque en 2025, segun datos de Netscout, y se ha establecido una nueva normalidad que alcanza el millón de ataques DDoS al mes.
Ataques más dinámicos y difíciles de detectar
Los ciberdelicuentes están encontrando nuevas formas de hacer sus ataques más eficientes, haciendo los ataques más dinámicos y difíciles de detectar. Se consolida una tendencia al uso de ataques a la IP directa, en lugar de utilizar técnicas de amplificación y reflexión, a la vez que han crecido de manera significativa los ataques DDoS dirigidos a capa de aplicación y dentro del tráfico HTTPS cifrado.
Esta nueva modalidad añadida a los ataques volumétricos tradicionales marca un panorama cada vez más volátil de ataques DDoS que siguen aumentando en frecuencia. Como los sistemas de protección de ataques DDoS actualmente son muy competentes, los atacantes han mejorado su capacidad y frecuencia de ataque contra la capa de aplicación o periféricos, combinando estos ataques con los tradicionales volumétricos.
Se están lanzando escaneos a la red para ver dónde atacar de forma más directa y los ataques están dejando de ser estáticos en el tiempo y ahora son dinámicos, con múltiples vectores de ataques, y además están cambiando de ser a la misma IP todo el tiempo a múltiples IP específicas que van variando durante el ataque.
Ejemplos de nuevos ataques
Carpet Bombing
Este es el ejemplo de ataque Carpet Bombing, que consiste en atacar a todas las IPs de la red y las van cambiando. El tráfico hacia una IP es pequeño, pero sumado con todos genera un volumen muy alto, y lo van cambiando cada 3 minutos.
DNS Water Torture
Otro ejemplo de ataque muy habitual es el DNS Water Torture, que es un ataque al DNS, preguntando por nombres que no existen, y sobrecargan el procesamiento de los DNS, intentando resolver estos nombres inexistentes, preguntando a DNS en niveles superiores, fuera de la compañía.
Slow Loris
Un ejemplo de ataque de aplicación es el llamado Slow Loris, que consiste en enviar las trazas de un paquete, no necesariamente malformadas, muy poco a poco, creando múltiples conexiones con el servidor de aplicaciones que se quedará esperando la finalización de un paquete que nunca llega, colapsando la pila de conexiones.
Por todo lo expuesto, la protección tradicional frente ataques DDoS ya es suficiente.
La necesidad de protección local 'always-on'
El número de ataques volumétricos está descendiendo, y están creciendo el número de ataques directos a una IP, ataques dentro del tráfico cifrado HTTPS, ataques carpet bombing atacando a múltiples IPs de la compañía, ataques DNS Water Torture, y los escaneos de red para encontrar vulnerabilidades de la red, y que al mismo tiempo debido al tráfico que generan son en sí ataques DDoS.
Para paliar este crecimiento de nuevos ataques sofisticados, con menor volumen y enfocados en colapsar las aplicaciones o periféricos, es necesario disponer de un dispositivo que actúe de forma inline en tráfico, en modo always-on, que analice todo el tráfico de red incluyendo el tráfico cifrado.
Disponiendo un módulo de protección local Anti-DDoS de seguridad en línea, implementado de forma on-premise en el perímetro de la red del Data Center de la compañía cliente (es decir, entre el router de internet y el firewall) se consigue protección robusta frente a este aumento de nuevos ataques.
El equipo 'on-premise' actúa como primera y última línea de defensa, protegiendo tanto frente a amenazas entrantes como salientes.
Esta posición en la red, con un motor de procesamiento de paquetes sin estado (stateless) y alimentado con una inteligencia de amenazas le permiten detectar y detener automáticamente tanto las amenazas entrantes como la comunicación saliente de los hosts internos comprometidos, actuando esencialmente como la primera y la última línea de defensa para las empresas.
Este dispositivo no implementa funcionalidades de firewall. La razón principal para ello es que, de hacerlo, debería convertirse en un dispositivo con estado (stateful) y tener una tabla de sesiones que podría colapsarse. Este tipo de dispositivos con estado, como los firewalls, son sensibles a los ataques DDoS y, en sí mismos, son objetivos.
El dispositivo de protección local on-premise debe desplegarse después del router de internet para proteger tanto al firewall, como a cualquier dispositivo periférico de la red, como IDS, IPS o balanceadores.
Beneficios del módulo de protección Anti-DDoS Local
- Primera línea de defensa: bloquea los ataques DDoS entrantes para proteger la disponibilidad de la red, los servicios o los dispositivos de seguridad con estado.
- Última línea de defensa: bloquea la comunicación saliente de dispositivos comprometidos hacia infraestructuras de comando y control.
- Protección frente a todo tipo de ataques DDoS, incluyendo volumétricos hasta la capacidad del enlace.
- Inspección continua del tráfico, añadiendo protección en los ataques en tráfico cifrado.
Protección híbrida: red de operador + solución local
En coordinación con una solución de protección DDoS desde el proveedor de servicios de internet, se conseguirá protección híbrida, de forma que los ataques volumétricos habituales de gran capacidad sigan protegiéndose aguas arriba, y los ataques más sofisticados puedan solventarse con este equipamiento local on-premise.
La protección híbrida es la manera más eficaz y automatizada de defenderse frente a ataques de denegación de servicio.
Los equipos on-premise pueden operar de forma independiente pudiendo detectar y mitigar ataques DDoS volumétricos y de aplicaciones. Cuando detectan que un ataque pueda superar la capacidad del enlace, envían una alarma al Servicio Anti-DDoS del ISP, permitiendo una mitigación adicional automática desde la red.
El desvío del tráfico hacia el servicio en red del ISP es automatizado cuando se detecte un ataque volumétrico que supere ciertos umbrales configurables de intensidad.
De esta manera, se consigue un modelo de protección híbrida que combina un dispositivo local con el Servicio Anti-DDoS de red de Telefónica, permitiendo defenderse tanto de ataques sofisticados mitigados on-prem como de grandes ataques volumétricos sin añadir latencia al tráfico.
Principales características de la protección híbrida
- Mayor eficacia en la detección de ataques volumétricos, de agotamiento de estados y sofisticados de aplicación.
- Integración de las capas de protección y sincronización automática de la lista de mitigación.
- Escalabilidad ilimitada con la capacidad de mitigación de Telefónica.
- Optimización de recursos locales.
- Detección y mitigación de ataques salientes desde el propio Data Center.
- Posibilidad de incorporar servicios de inspección SSL y Malware.
- Protección específica de DNS.
- Reducción de costes y mejora de la resiliencia.
Conclusiones
Implantar una protección de ataques DDoS desde el operador con una protección local integrada con la red del operador es la mejor solución de arquitectura frente a los ataques de denegación de servicios, para mitigar tanto ataques volumétricos como de aplicación y multivector.
El servidor on-premise actúa en modo always-on y detecta y mitiga ataques dentro de su alcance de forma inmediata, tanto entrantes como salientes, pudiendo además inspeccionar tráfico SSL para detectar y mitigar ataques dentro del tráfico cifrado.
Adquirir un servicio gestionado para la solución completa integrada es la manera más eficaz ante la resolución de ataques DDoS, debido a la alta cualificación del personal del ISP operando estas tecnologías.
