Las redes sociales y los servicios populares en línea están siendo utilizados por los hackers para extender y aumentar las amenazas digitales, en especial los ataques de Denegación del Servicio (DDoS), que pueden ser amplificados y reflejados de una forma significativa y masiva.
Cada día escuchamos numerosos incidentes de seguridad perpetrados por estos ciberdelincuentes que inundan las redes corporativas mediante ataques DDoS; lo que no sabíamos hasta ahora, es que están comenzando a utilizar Facebook para vincular ‘cargas’ con cuentas falsas; de tal manera que se han reportado incidentes donde un hacker logró crear una inundación de 400 MB utilizando únicamente Facebook Mobile, la versión para smartphones y tablets de la popular red social.
Este nuevo ataque vía Facebook es similar a los ataques DDoS realizados en Google Docs reportados hace un par de años cuando las hojas de cálculo elaboradas mediante esta plataforma en la nube eran utilizadas como un arma de DDoS. Estos tipos de ataques utilizan un enlace web o URLs que actúan en conjunto con las Redes de Despacho de Contenidos (CDN) para inundar los servidores con tráfico masivo de datos.
¡Pero cuidado! este tipo de ataques no solo pueden realizarse con Facebook y Google; los hackers han comenzado a amplificar sus fechorías mediante Yahoo al cargar vínculos utilizando su programa de email. DE tal manera, al crear un mensaje es posible pegar links en el cuerpo del mismo y el sistema automáticamente los carga mostrando una vista previa. De esta forma es muy fácil pegar un enlace, pulsar Enter, pegar otro, pulsar Enter, y así sucesivamente Yahoo irá mostrando el contenido del link y ajustando el tamaño de las imágenes. Los hackers pueden automatizar este proceso mediante un guión en el navegador tal y como lo hace Grease Monkey; también pueden enlazar estos vínculos con ‘notas’ en Facebook en un esfuerzo por amplificar el daño.
Si se está preguntando ¿Cómo puede un hacker combinar estos ataques? ¡Fácil! En primer lugar, el atacante crea una Nota en Facebook con 1,000 URLs; luego, carga un guión para atacar ese archivo de nota utilizando WordPress pingback. Posteriormente, coloca una lista de URLs en Google Docs para que cargue cada hora, y luego inicia la amplificación de los enlaces mediante Yahoo Mail, que previsualiza el contenido de cada uno y los regresa. De esta forma, podemos ver que es fácil crear una cadena de atentados y combinarlos con varios reflectores para atacar insistentemente a varios sitios web corporativos.
Este tipo de amenazas puede implementarse fácilmente desde una red pública WiFi (un aeropuerto, centro comercial, cafeterías, restaurantes) que brinda anonimato al atacante, y debido a que estos servicios en línea hacen parte de ‘listas negras’, los ataques pueden pasar desapercibidos y mucha veces son confundidos con un error o un bug.
La dificultad en la lucha contra este tipo de ataques es que a menudo se elige la solución incorrecta. Los servicios DDoS que requieren que el usuario filtre el tráfico desde su centro de datos hacia ellos para ‘limpiar’ el tráfico son costosos y sólo deben utilizarse para casos de emergencia. Los ataques de reflexión de red a menudo requieren este tipo de servicio de emergencia. Mientras tanto, las peticiones HTTP procedentes de Google, Facebook o WordPress tienden a ser clasificados como tráfico legítimo, por lo que es difícil mitigar ataques procedentes de estos sitios.
En la actualidad, existen soluciones DDoS híbridas que se combinan para compartir la señales de los ataques y detener las amenazas.
Por Fernando Santos, Director Regional-CALA de Radware
