Defiéndete contra el aumento de los ataques DDoS a la capa de aplicación
Mejora de la resiliencia de las aplicaciones con una estrategia de tres pilares
Los ataques de denegación de servicio distribuido (DDoS) se han convertido en una de las amenazas más comunes para la capa de aplicación, y esas amenazas están aumentando de tamaño. Inundan los servidores y los recursos de red con tal cantidad de solicitudes que pueden ralentizar o bloquear por completo el software, deteniendo así las operaciones críticas. Hoy en día, los ataques DDoS constituyen una parte importante de todos los ataques al tráfico de aplicaciones web. De hecho, representan el 37 % de todo el tráfico de la capa de aplicación que Cloudflare consideró malicioso y bloqueó en 2024.
Por desgracia, cada vez es más fácil para los ciberdelincuentes lanzar ataques DDoS a la capa de aplicación. Constantemente están recurriendo a nuevas herramientas y adoptando nuevas tácticas para optimizar su trabajo malicioso. Por ejemplo, los servicios de "amplificación" de DDoS por encargo y los scripts de ataque basados en IA han reducido las barreras de entrada para los atacantes. Ahora, los ciberdelincuentes pueden lanzar ataques de forma más rápida y económica que nunca. También están llevando a cabo ataques más grandes y sofisticados, como los nuevos incidentes sin precedentes que hemos visto cada trimestre.
Al mismo tiempo, los ciberdelincuentes están perfeccionando su habilidad para identificar objetivos y evitar ser detectados. Por ejemplo, están mejorando en el uso de tácticas de reconocimiento para encontrar API vulnerables. Además, están utilizando botnets para simular el comportamiento real del usuario y evitar las herramientas de seguridad.
Los directores de informática más destacados han convertido en una prioridad reforzar las defensas contra los ataques DDoS a la capa de aplicación. Para detener estos ataques, los equipos de seguridad primero deben comprender cómo funcionan, por qué son tan difíciles de detectar y cómo pueden afectar a su organización. A continuación, pueden implementar un marco estratégico con las capacidades esenciales para detener los ataques y mejorar la capacidad de recuperación.
Evolución de las amenazas a la capa de aplicación
Los ataques DDoS en la capa de aplicación (o capa 7) adoptan un enfoque más específico que los ataques DDoS de red típicos (capa 3 o 4). Mientras que los ataques a la red intentan causar interrupciones generalizadas, los ataques DDoS a la capa de aplicación se centran en interrumpir los flujos de trabajo y los servicios empresariales esenciales. Podrían dirigirse a páginas de inicio de sesión, API o pasarelas de pago, para intentar interrumpir una funcionalidad específica sin afectar necesariamente a toda la infraestructura de la red.
Los ataques a la capa de aplicación también son incidentes de menor volumen que los ataques a la red. Están diseñados para parecer "normales" al adherirse a los protocolos de aplicación. Los atacantes podrían crear solicitudes que parezcan válidas, como intentos de inicio de sesión o consultas de búsqueda, para sobrecargar componentes de software específicos. Los ataques podrían transmitir pequeñas cantidades de tráfico malicioso durante un periodo prolongado para evadir la detección. Los ataques lentos y de baja intensidad tienen como objetivo saturar el servidor o la base de datos que admite la aplicación consumiendo recursos como ciclos de CPU, memoria y conexiones a la base de datos.
Ese enfoque de menor volumen contribuye a que los ataques a la capa de aplicación sean tan difíciles de detectar. Estos ataques evaden las defensas de red tradicionales que se basan en los umbrales de volumen de tráfico. Una mitigación eficaz requiere una estrategia adaptable que analice la calidad del tráfico, el contexto y la intención, y que vaya más allá de la simple medición de la cantidad de tráfico.
Identificación de vectores de ataque y técnicas comunes
Los ciberdelincuentes emplean diversas técnicas para atacar la capa de aplicación. Algunos atacan diferentes elementos y vulnerabilidades, mientras que otros adoptan enfoques distintos para sobrecargar los servidores. Las seis técnicas más comunes son:
Inundaciones HTTP / HTTPS: estos tipos de ataques saturan los servidores web con un gran volumen de solicitudes HTTP GET o POST, lo que consume recursos y provoca una denegación de servicio para los usuarios legítimos.
Inundaciones de consultas DNS: los atacantes pueden inundar los servicios DNS con consultas, lo que puede provocar un efecto de fallo en cascada, haciendo que todo el software y los servicios dependientes sean inaccesibles.
Ataques de baja velocidad y persistencia: estos ataques, como Slowloris y R.U.D.Y., establecen y mantienen conexiones lentas e incompletas con un uso mínimo de ancho de banda para agotar los recursos del servidor y eludir la detección.
Ataques específicos de la API: con el auge de las arquitecturas que dan prioridad a las API, los ciberdelincuentes se centran cada vez más en puntos finales de las API específicos para inutilizar todo un servicio.
Explotación de vulnerabilidades de aplicaciones: los ataques también pueden aprovechar vulnerabilidades como la inyección de código SQL y el cross-site scripting (XSS) para robar datos o vulnerar los sistemas.
Técnicas emergentes: los atacantes siguen desarrollando nuevas técnicas, como la utilizada en los ataques HTTP/2 Rapid Reset hace unos años. Hoy en día, también utilizan botnets que modifican aleatoriamente el movimiento del ratón, mantienen cookies de sesión, varían los encabezados de las solicitudes y visitan varias páginas de un sitio web, todo ello con el fin de suplantar la identidad de los usuarios y evadir la detección antes de un ataque.
Algunas de estas técnicas difuminan la línea entre los ataques DDoS y las tácticas más generales de la capa de aplicación. Se utilizan tanto para la exfiltración de datos como para la denegación de servicios. Para combatir estas amenazas, las organizaciones deben integrar su estrategia de defensa contra DDoS en la seguridad general de las aplicaciones.
Creación de una estrategia para detener los ataques a la capa de aplicación
La defensa contra los ataques DDoS a la capa de aplicación requiere un enfoque sofisticado y multidimensional que va más allá de las defensas DDoS tradicionales basadas en el volumen. Ese enfoque debe combinar detección, prevención y mitigación avanzadas, así como una arquitectura de seguridad adaptable.
Detección avanzada
Las estrategias de detección modernas deben poder detectar el mimetismo utilizado por los atacantes. Las soluciones de análisis del comportamiento de usuarios y entidades (UEBA) establecen, en primer lugar, una línea base del comportamiento "normal" mediante la supervisión continua del tráfico a nivel de aplicación. Estas soluciones aplican análisis de comportamiento y capacidades de aprendizaje automático para identificar anomalías que podrían indicar un ataque. La supervisión en tiempo real de las métricas de rendimiento de las aplicaciones, como el uso de CPU y el consumo de memoria, también proporciona indicaciones tempranas de un ataque.
Las organizaciones deberían complementar estas capacidades con información sobre amenazas en tiempo real obtenida de grandes redes globales basadas en la nube. Los equipos también pueden identificar y bloquear de forma preventiva direcciones IP maliciosas o botnets mediante firewalls de aplicaciones web (WAF).
Prevención y mitigación
Además de la detección, las organizaciones deberían implementar una variedad de tácticas de prevención y mitigación para mejorar la resiliencia del software. Por ejemplo, la limitación de velocidad inteligente evita que las solicitudes excesivas agoten los recursos. Los WAF filtran y bloquean el tráfico malicioso, mientras que las puertas de enlace de seguridad para las API filtran las llamadas API maliciosas. Un modelo Zero Trust reduce la superficie de ataque y controla el acceso a las aplicaciones, incluso si las credenciales de usuario quedan expuestas.
Para mitigar los ataques, las organizaciones pueden implementar una red de entrega de contenido (CDN), que distribuye el contenido de las aplicaciones a nivel global, absorbiendo el tráfico de ataque en el perímetro de la red y reduciendo las interrupciones. El equilibrio de carga distribuye el tráfico entre varios servidores para evitar que un solo servidor se vea sobrecargado, mientras que la escala automática asigna dinámicamente los recursos en función de las demandas de tráfico, lo que garantiza una capacidad adecuada durante los ataques.
Arquitectura de seguridad adaptativa
Los atacantes no se detienen. Continúan desarrollando nuevas técnicas y adoptando nuevas herramientas que les ayudan a eludir las defensas. Las organizaciones necesitan una arquitectura de seguridad adaptable que pueda aprender de estas amenazas en evolución y, a continuación, predecir y responder a los ataques de forma autónoma.
La información sobre amenazas es fundamental para la resiliencia ante ataques DDoS, ya que puede transformar la defensa de reactiva en predictiva. Mediante el procesamiento de datos sobre patrones de ataque globales, los servicios de información sobre amenazas permiten a las organizaciones anticiparse a los vectores emergentes (como nuevas técnicas de amplificación o campañas hacktivistas) y reforzar de forma proactiva sus defensas. Esta información proporciona listas en tiempo real de direcciones IP maliciosas para su bloqueo inmediato, informa sobre políticas precisas de limitación de velocidad y garantiza que los equipos de seguridad puedan distinguir rápidamente el ruido disruptivo de los ataques DDoS del robo de datos selectivo, lo que permite una respuesta centrada y eficaz que protege tanto la disponibilidad del servicio como la integridad de los datos fundamentales.
La IA y el aprendizaje automático serán un componente esencial de esa arquitectura adaptable. Las herramientas basadas en la IA y el aprendizaje automático analizan grandes cantidades de datos de red para identificar patrones de ataque sutiles y anomalías que los sistemas tradicionales podrían pasar por alto. Además, aprenden de cada nuevo ataque y aplican nuevas políticas o reglas para mitigar las amenazas en cuestión de segundos.
Los equipos de seguridad también deben implementar procesos ágiles. Establecer un plan de respuesta ante incidentes y llevar a cabo simulaciones realistas de ataques DDoS es crucial para identificar vulnerabilidades y validar los procedimientos de mitigación. Esos planes y simulaciones deben evolucionar a medida que los atacantes cambian sus técnicas y las organizaciones identifican vulnerabilidades en las aplicaciones.
Cómo detener los ataques DDoS a la capa de aplicación
La conectividad cloud de Cloudflare ofrece una gama completa de servicios nativos de nube para defenderte de los ataques DDoS, incluidos aquellos dirigidos a la capa de aplicación. Por ejemplo, la protección contra DDoS aprovecha los 449 Tbps TB/s de capacidad de red de Cloudflare para mitigar incluso los mayores ataques DDoS sin ralentizar el rendimiento de las aplicaciones. Las capacidades de UEBA basadas en el aprendizaje automático permiten detectar comportamientos inusuales que indican una amenaza, mientras que el servicio WAF detiene los ataques en tiempo real. Dado que estas y otras capacidades están totalmente integradas en una única plataforma, tu equipo puede detener los ataques a la capa de aplicación y mejorar la resiliencia sin añadir complejidad.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Más información sobre cómo proteger a tu organización de los ataques DDoS dirigidos a la capa de aplicación y a la red en el libro electrónico 5 consideraciones fundamentales para mitigar ataques DDoS.
Autor
Gregory Van den Top – @gregoryvdtop
Director de seguridad, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Los últimos vectores y técnicas DDoS a la capa de aplicación
Por qué los ataques a la capa de aplicación son difíciles de detectar
Cómo crear una estrategia de tres pilares para defenderse de los ataques DDoS