Andrés Algaba es product manager de Seguridad en Grandes Empresas de Orange. En esta entrevista, este ingeniero, que lleva más de 17 años en la compañía, habla de la naturaleza de los ataques de denegación de servicio distribuido (DDoS) y de los problemas económicos y de reputación que ocasionan a las compañías que los sufren. Además, explica por qué están tan generalizados y protagonizan hoy casi la mitad de las incidencias que sufren las empresas españolas en materia de seguridad.
Asimismo, destaca las virtudes del nuevo servicio AntiDDoS de Orange, basado en la tecnología de protección ante ataques de denegación de servicio de la propia operadora, y que ahora va a estar disponible para empresas de todos los tamaños. “Tanto la detección como la mitigación se llevan a cabo dentro de nuestras propias infraestructuras, lo que permite reducir la latencia y entregar el tráfico limpio hacia la red del cliente sin necesidad de configuraciones complejas adicionales”, apunta Algaba.
¿Qué son los ataques de DoS y DDoS?
Los ataques DoS y DDoS son una amenaza orientada a conseguir la indisponibilidad de un servicio en Internet para sus usuarios legítimos. Debemos diferenciar cuando el origen del ataque es una única fuente, y se denomina DoS, y cuando tenemos múltiples orígenes, y hablamos de DDoS o ataque de denegación de servicio distribuido.
Estos ataques generan un tráfico no deseado que satura la conexión de la víctima mediante peticiones que pueden saturar los recursos de los servidores. Los más letales son los que van dirigidos a explotar determinadas vulnerabilidades a nivel de aplicación.
A mí me gusta mucho contarlo de una forma muy sencilla. Pensemos en cualquier servicio online de los que usamos habitualmente, como Office 365, Dropbox, banca online, Amazon, Netflix, etc. Pues bien, un ataque de denegación de servicio lo que busca es, mediante diferentes técnicas, que estos servicios no estén accesibles, de forma que cuando tratamos de acceder a ellos nos aparece un error en nuestro navegador o aplicación.
“Todavía existen muchas empresas que consideran que la ciberseguridad es un gasto, más que una inversión”
Andrés Algaba product manager de Seguridad en Grandes Empresas de Orange
Hay informes que dicen que el 44% de los ataques que sufrieron las compañías en España en 2018 eran de este tipo y que en el mundo hubo hasta casi 3 millones de ataques DDoS el año pasado. ¿Por qué están tan generalizados?
Existen muchos factores, pero debemos pensar que detrás de los mismos existe un gran abanico de actores, desde un colectivo o grupo de activistas que simplemente buscan notoriedad hasta un gobierno con todos los recursos a su alcance tratando de desestabilizar un gobierno legítimo de otro país o conseguir alterar unos comicios electorales.
Si bien es cierto que el éxito de los ataques de DDoS a muchas empresas es debido a su relación coste-beneficio, puesto que son ataques relativamente sencillos de organizar y que, por contra, tienen un alto impacto sobre su objetivo y una gran tasa de éxito. Además, existen muchos casos en los que las víctimas del ataque no son su objetivo final, pero se han visto afectadas en mayor o menor medida.
¿Qué problemas ocasiona a las compañías que sufren estos ataques en términos económicos y de reputación?
Imaginemos que tenemos que tomar un vuelo mañana por asuntos laborales y cuando vamos a tramitar nuestra tarjeta de embarque a través de la web para evitar esperas en el aeropuerto, un ataque de denegación de servicio ha provocado que la página donde debemos realizar el check-in no está operativa.
Existen multitud de situaciones y ejemplos que nos ayudan a entenderlo, y tan solo es necesario trasladarlo a la realidad que vivimos. ¿Os imagináis lo que podría suponerle a nivel económico y de reputación a una empresa dedicada al comercio electrónico que durante la víspera del día de Navidad su servicio no esté disponible? ¿O que esta noche, durante el estreno de la nueva temporada de nuestra serie favorita, un ataque de DDoS impida que millones de usuarios puedan verla?
¿Están en general preparadas las compañías españolas, sobre todo medianas y grandes, para responder a una crisis de este tipo?
En general deberíamos decir que no. Es cierto que determinados sectores, como la banca, han invertido y lo siguen haciendo en ciberseguridad y tienen implementados mecanismos de protección frente a este tipo de amenazas, pero todavía existen muchas empresas que consideran que la ciberseguridad es un gasto más que una inversión.
“En muchos casos los ataques de denegación de servicio son simplemente una cortina de humo de una amenaza más compleja”
Andrés Algaba product manager de Seguridad en Grandes Empresas de Orange
Tenemos un largo camino que recorrer a nivel de concienciación en nuestro tejido empresarial. Cuando pensamos en publicar un servicio web, habitualmente nos focalizamos en alojarlo sobre una arquitectura fiable, con redundancia a nivel hardware, comunicaciones con varios proveedores, etc., pero pocas veces pensamos en la necesidad de adoptar una estrategia de ciberseguridad que evite un fallo en la disponibilidad de nuestro servicio, tanto a nivel de protección frente a ataques DDoS, como asegurando que todos los elementos de software disponen de los últimos service packs a nivel de seguridad que nos protegen frente a ataques a determinadas vulnerabilidades.
Si bien es cierto que cada día más las empresas preguntan por soluciones antiDoS y antiDDoS, existe todavía la falsa creencia ampliamente extendida de “¿quién va querer atacar a mi empresa?”.
¿Cuánto tardan por término medio las compañías en hacer frente a un ataque de este tipo y que consecuencias tiene cada hora que se pierde?
No existe una respuesta concreta para esta pregunta. Debemos pensar que existen multitud de ataques de denegación de servicio cada segundo a nivel mundial, y, por tanto, la duración y el tamaño del mismo son muy variables.
“Utilizando un sistema de machine learning, se puede lanzar un ataque de forma totalmente automatizada y en función de la respuesta variar la naturaleza del mismo”
Andrés Algaba product manager de Seguridad en Grandes Empresas de Orange
Es fundamental adoptar una estrategia de ciberseguridad global donde la protección antiDDoS sea clave para asegurar la disponibilidad de nuestros servicios. Pero debe formar parte de un conjunto de medidas a implementar que incluya, además, elementos que aseguren que nuestra información está a salvo de robos o manipulaciones no deseadas.
En muchos casos, los ataques de denegación de servicio son simplemente una cortina de humo de una amenaza más compleja. Por ejemplo, pueden ocultar un escaneo de puertos realizado con el fin de analizar el comportamiento de las defensas de la víctima, o para ocultar un ataque mediante un ransomware.
¿Nos puedes contar algún ataque reciente en España de este tipo y qué consecuencias tuvo para el cliente?
El caso más reciente tuvo lugar durante el mes de marzo. Aprovechando una red de dispositivos comprometidos ubicados en varios proveedores de servicio (lo que se conoce como red de bots o una botnet), se organizó un ataque DDoS hacia Microsoft, afectando a determinados servicios que dejaron de estar disponibles para sus usuarios. Además, este ataque provocó un daño colateral sobre los usuarios de estos proveedores, que no pudieron acceder a determinadas webs debido a la saturación que se produjo en Espanix, uno de los puntos neutros donde se produce intercambio de tráfico de Internet a nivel nacional.
“Nuestra solución se basa en analizar una gran cantidad de flujos de tráfico en los puntos estratégicos de la red”
Andrés Algaba product manager de seguridad en Grandes Empresas de Orange
Este es un ejemplo que refleja uno de los escenarios posibles y de los más temidos, donde determinados servicios de diferentes empresas que no están siendo atacadas dejan de estar disponibles para sus usuarios legítimos, aunque no eran el objetivo principal del ataque.
¿Hasta qué punto la proliferación de los dispositivos IoT contribuyen al aumento de los ataques de DDoS?
En los últimos años, los dispositivos IoT se convirtieron en el arma preferida para lanzar ataques DDoS debido principalmente al gran número de dispositivos no seguros conectados a internet. Hay 27.000 millones en la actualidad y alcanzarán los 125.000 en 2030. A medida que aumentan los dispositivos conectados, lo hacen las vulnerabilidades asociadas a los mismos. Esto ha permitido a los atacantes desarrollar nuevas y complejas formas de detectar, infectar y comprometer estos dispositivos, incluso a pesar de que se encuentren protegidos detrás de firewalls.
Empresas, gobiernos y sector educativo han tenido que hacer frente a ataques multivectoriales, de gran complejidad y apalancados en la utilización de dispositivos IoT, como redes de bots combinados con otro tipo de ataques que aprovechan las diferentes vulnerabilidades encontradas en los sistemas expuestos a internet.
Los dispositivos IoT son atacados durante los cinco primeros minutos después de ser conectados a internet mediante ataques de fuerza bruta basados en la utilización de user/password más comunes, y en menos de 24 horas se han visto comprometidos por un exploit específico.
¿Hasta qué punto los ciberdelincuentes han sofisticado los ataques gracias a la IA y al machine learning?
Para entender este punto pensemos en cómo han evolucionado los ataques de denegación de servicio. En sus orígenes, se trataba de un ataque desde un elemento concreto hacia un servidor, consiguiendo que este dejara de estar disponible para sus usuarios. Estos ataques evolucionaron rápidamente, de forma que en lugar de lanzar el ataque desde una única fuente, el atacante utilizaba múltiples elementos para tener más éxito.
Estos elementos remotos pueden ser equipos comprometidos debido a algún fallo de seguridad en la implementación de los mismos o bien servicios totalmente legítimos que existen en Internet, como DNS o CLDAP, utilizados para generar tráfico no deseado hacia el objetivo a atacar. El hacker se apoya en la utilización de un servidor denominado de Command&Control, desde el cual controla remotamente estos equipos o bien consigue que lancen peticiones hacia la víctima objetivo.
“En Orange un equipo de servicios profesionales se encargará de configurar y parametrizar los equipos y el software sobre los que se basa la plataforma AntiDDoS”
Andrés Algaba product manager de Seguridad en Grandes Empresas de Orange
Los sistemas que utilizan machine learning son capaces de aprender por sí mismos y tomar decisiones en base a dicho aprendizaje, lo que permitiría a un servidor de Command&Control lanzar un ataque de forma totalmente automatizada y, en función de la respuesta, variar la naturaleza del mismo con el fin de tratar de evitar las contramedidas aplicadas.
Si además tenemos en cuenta que el 81% de los ataques de DDoS son parte de una amenaza más compleja y que sirven como distracción para ocultar un ataque más letal, como el destinado a la capa de aplicación aprovechando determinadas vulnerabilidades, la utilización de sistemas de machine learning va a permitir decidir de forma totalmente automatizada y desatendida qué tipo de vulnerabilidad explotar en cada momento en función de la respuesta que obtenga por parte del servidor.
¿Cómo ayuda Orange a solucionar o mitigar este problema en las grandes empresas?
En Orange apostamos por la ciberseguridad y queremos poner a disposición de las empresas las tecnologías que usamos para salvaguardar los activos digitales de nuestra compañía. Esto nos ha llevado a trabajar en una línea de productos y servicios de ciberseguridad que ya estamos utilizando a nivel interno, siendo el servicio AntiDDoS uno de ellos.
Lo que hemos trabajado conjuntamente con las diferentes áreas internas de la compañía ha sido adaptar y extender la protección DDoS de la infraestructura de Orange a la red de Empresas, ampliando los equipos que son parte dicha solución, de forma que permitan a cualquier cliente de Empresas el poder contratar un servicio AntiDDoS similar al que utilizamos a nivel de compañía. Además, nuestros clientes se beneficiarán de la experiencia que hemos acumulado durante estos últimos años.
¿Qué infraestructura protege la solución AntiDDoS de Orange y cómo detecta los ataques?
En Orange hemos apostado por evolucionar la arquitectura ya desplegada del fabricante líder mundial en protección frente a ataques DDoS, Arbor Networks (NetScout). Es importante recordar que este fabricante ha sido el responsable de detectar y mitigar el mayor ataque DDoS de la historia, de 1,7 Tbps, que tuvo lugar en marzo del 2018.
Nuestra solución se basa en analizar una gran cantidad de flujos de tráfico en los puntos estratégicos de la red, tanto en las interconexiones a Internet como en los routers que son parte de la red de Empresas. Además, hemos aumentado la frecuencia en la que tomamos las muestras con el fin de detectar los ataques a partir de caudales más pequeños, lo que nos permite ampliar el rango potencial de clientes que pueden beneficiarse de esta solución.
Este conocimiento nos permite reaccionar de forma inmediata ante cualquier anomalía detectada, de forma que, ante un ataque, todo el tráfico se dirigirá a los Centros de Mitigación. Aquí me gustaría resaltar que solo desviamos el tráfico hacia la IP atacada con el fin de evitar descartar tráfico lícito, de forma que los Centros de Mitigación solo aplicarán las contramedidas sobre el tráfico no deseado, tratando de minimizar el impacto durante el ataque.
¿Cuáles son los valores diferenciales de AntiDDoS de Orange frente a otras soluciones de este tipo?
La solución AntiDDoS de Orange es un servicio integrado en la red, de forma que tanto la detección como la mitigación se lleva a cabo dentro de nuestras propias infraestructuras, lo que permite reducir la latencia y entregar el tráfico limpio hacia la red del cliente sin necesidad de configuraciones complejas adicionales.
“Los ataques DDoS son sencillos de organizar y, por contra, tienen un alto impacto y una gran tasa de éxito”
Andrés Algaba product manager de Seguridad en Grandes Empresas de Orange
Esta arquitectura nos permite establecer unos mecanismos de detección y mitigación totalmente automatizados que reducen los tiempos de exposición de los activos del cliente durante un ataque hacia sus servicios publicados en internet.
Una de las barreras de entrada que muchas empresas ven a la hora de contratar este tipo de servicios es su complejidad, tanto en la puesta en marcha inicial como en su operación. Por eso en Orange, una vez son contratados los servicios, un equipo de profesionales se encargará de configurar y parametrizar los equipos y el software sobre los que se basa la plataforma AntiDDoS.
¿Qué aspectos adicionales destacaría de la solución? Al parecer no requiere inversiones en infraestructura añadida y genera informes periódicos de interés para los clientes
Es un servicio que ha sido diseñado para adaptarse a un gran número de empresas sin importar su madurez en cuanto a ciberseguridad, desde aquellas empresas con necesidades de caudales más pequeños y que quieren un funcionamiento totalmente desatendido, donde la detección y mitigación están totalmente automatizadas y con carácter mensual disponen de informes sobre qué alertas y mitigaciones se han llevado a cabo, hasta aquellas empresas que requieren de una mayor complejidad en la operación y unos informes totalmente personalizados.
Además, el servicio AntiDDoS es totalmente complementario a otras soluciones de ciberseguridad implementada en la red de Orange, como Security Suite, nuestro servicio de seguridad perimetral, de forma que las empresas podrán disponer de una solución completa sin necesidad de desplegar infraestructuras locales.
Imágenes | Orange
