Internet es una enorme red compuesta por redes más pequeñas que interactúan para compartir información entre lugares dispersos del planeta. Este modelo particular tiene la ventaja de abrirnos unos a otros y reducir el mundo en un grado increíble. La desventaja es que la forma en que se configura la infraestructura la hace vulnerable a los ataques que pueden superar la capacidad de un nodo para transmitir mensajes. Así es como funciona la denegación de servicio distribuida (DDoS).
Hay muchas razones por las que las personas ejecutan tales ataques, pero ha surgido una tendencia reciente en la que los atacantes ahora piden una remuneración con la promesa de que los ataques se detendrán una vez que se realice el pago. Para comprender mejor cómo detener los ataques web de rescate, debemos sumergirnos en la mente de los atacantes y comprender cómo se diferencian.
Cómo funcionan los ataques web de rescate
Piense en un ataque DDoS de rescate como un secuestro. El perpetrador ha tomado algo de valor de la víctima y pide una compensación, prometiendo la restitución de lo perdido. En este caso no se trata de un ser humano secuestrado sino de la capacidad de funcionamiento de un servicio web. Los ataques a menudo ocurren en sitios web, pero también pueden derribar cualquier otro servicio que use Internet. Algunos de los peores ataques podrían derribar un servicio, incluso si el puerto atacado se cierra simplemente porque la infraestructura se sobrecarga debido a una cantidad excesiva de tráfico entrante. Los ataques más ligeros pueden ser más efectivos en un puerto abierto (es decir, un puerto que «escucha» activamente el tráfico porque un servicio se ejecuta en él, como el puerto 80 para HTTP).
A diferencia del ransomware, que secuestra su computadora, un ataque de rescate le roba la capacidad de proporcionar servicios a través de Internet. Si su computadora (a diferencia de un servidor remoto) es el objetivo del ataque, también pierde toda la capacidad de comunicarse o navegar en la Web. Para las grandes empresas, esto puede generar pérdidas que ascienden a más capital del que gastarían pagando el rescate, razón por la cual pueden ceder a las demandas.
¿Qué motiva a los atacantes a exigir rescate?
Un ataque de rescate, a diferencia del hacktivismo, no tiene ningún motivo ulterior que no sea el beneficio a corto plazo. Si bien los hacktivistas pueden estar atacando un servidor por una causa (como los ataques de octubre de 2015 a sitios web presuntamente racistas), los atacantes de rescate solo estarán satisfechos con una suma global de efectivo. El hacktivismo puede ser más severo en la mayoría de los casos ya que la duración de sus ataques puede ser mucho mayor. A pesar de la distinción que he esbozado, los dos grupos pueden superponerse. Los hacktivistas a veces pueden pedir un rescate, aunque la «recompensa» puede no ser una ganancia monetaria sino un cambio en la política o algún otro tipo de medida. Tal fue el caso cuando los servicios de inteligencia canadienses fueron amenazado por Anónimo a mediados de julio de 2015.
Cómo los proveedores de servicios pueden combatir los ataques de rescate
Como mencioné anteriormente, los ataques de rescate pueden causar pérdidas significativas durante las interrupciones. Cuanto más dura el ataque, más tentador es para el objetivo pagar el rescate para reducir sus pérdidas. Esta es una forma defectuosa de hacer las cosas y pone a la víctima en una posición más vulnerable considerando que no hay garantía de que los atacantes cumplan su palabra. Tal fue el caso en noviembre de 2015 cuando una empresa suiza llamada Protonmail que brindaba servicios de correo electrónico encriptado pagó el rescate y los ataques continuaron. El pago simplemente motiva a los atacantes a presionar más y probar suerte nuevamente agregando más demandas a la mesa.
La mejor manera de resolver el problema es esperar hasta que los atacantes se muevan hacia otro objetivo (lo que generalmente sucede después de que se dan cuenta de que no obtendrán lo que pidieron). Si esto es inaceptable, tal vez debería ejecutar sus servicios web en una infraestructura de balanceo de carga que ayudará a mantener el flujo de tráfico mientras el servidor principal es atacado. Puede usar un servicio como CloudFlare o Incapsula para asegurarse de que las direcciones se filtren y ningún atacante conozca la dirección IP real de su sitio web.
¿Tiene alguna otra sugerencia para las víctimas de ataques web de rescate? ¡Háganos saber en un comentario!