¿Qué es un ataque DDoS? Guía completa sobre los ataques de denegación de servicio distribuido
Un ataque de denegación de servicio distribuido (DDoS) es un intento coordinado para hacer que un servicio, aplicación o infraestructura en línea no esté disponible para los usuarios legítimos, saturándolo con tráfico excesivo proveniente de múltiples dispositivos comprometidos.
En los entornos IBM z/OS, un ataque DDoS puede dirigirse a servicios tradicionales del mainframe (TN3270, FTP, HTTP/S, MQ), sobrecargar las pilas TCP/IP del sistema o saturar routers y conmutadores frontales, interrumpiendo así cargas de trabajo y transacciones críticas para el negocio.
¿Cómo funciona un ataque DDoS?
Un ataque DDoS suele seguir estas etapas:
- El atacante compromete numerosos dispositivos (bots) o utiliza técnicas de amplificación para generar un gran volumen de tráfico.
- Estos dispositivos envían solicitudes simultáneas de red o aplicación al sistema objetivo.
- La capacidad del objetivo (ancho de banda, CPU, memoria, tablas de sesión) se satura, lo que produce lentitud o inoperatividad.
- En un entorno IBM z/OS, componentes críticos como el Communications Server TCP/IP, los gateways transaccionales (CICS/IMS), los emuladores TN3270 o los canales MQ pueden verse sobrecargados.
- Cuando el procesamiento central se ve afectado, incluso las configuraciones de alta disponibilidad (como los LPARs en un SYSPLEX) pueden quedar inutilizadas debido a los recursos compartidos (red, E/S, acoplamiento de sistemas).
En algunos casos, lo que parece una simple “denegación de servicio” puede ser el resultado de un ataque más grave, como una bomba lógica, activada por un actor interno malicioso que puede inutilizar todas las LPAR de un SYSPLEX durante días o semanas. Para más información, consulta nuestro artículo relacionado.
Objetivos principales de un ataque DDoS
Los ataques DDoS pueden tener diferentes objetivos, que incluyen:
- Extorsión económica: exigir un rescate para detener el ataque.
- Hacktivismo: motivaciones políticas o ideológicas.
- Sabotaje competitivo: afectar la disponibilidad de competidores o servicios críticos.
- Pruebas de defensa: evaluar la capacidad de respuesta ante ataques.
- Táctica de distracción: desviar la atención del equipo de seguridad mientras se ejecutan otros ataques (por ejemplo, una bomba lógica o un malware).
Tipos de ataques DDoS
Existen varios tipos de ataques DDoS, cada uno con diferentes objetivos y métodos de ataque. A continuación, te mostramos una tabla con los tipos de ataques más comunes:
| Tipo de Ataque | Método de Ataque | Ejemplo de Ataque |
|---|---|---|
| Ataques Volumétricos | Saturan la capacidad de la red | Inundaciones UDP, ICMP, amplificación DNS o NTP |
| Ataques de Protocolo | Explotan vulnerabilidades en protocolos | Flood de SYN, Ping-of-Death, Smurf |
| Ataques de Capa de Aplicación | Simulan tráfico legítimo | Sobrecargar CICS Web Gateway, abuso de API MQ |
Ataques Volumétricos
Buscan saturar la capacidad de red disponible. Incluyen inundaciones UDP, ICMP y ataques de amplificación mediante servidores DNS o NTP. En arquitecturas mainframe, estos ataques pueden sobrecargar las pilas TCP/IP de z/OS o saturar los routers frontales del SYSPLEX, provocando interrupciones y agotamiento de recursos.
Ataques de Protocolo
Aprovechan vulnerabilidades en los protocolos de transporte o red. Ejemplos: SYN flood, Ping of Death, Smurf. En IBM z/OS, pueden explotar las tablas de gestión de conexiones del Communications Server, provocar excesivas sesiones o reinicios TCP, degradando el acceso a terminales TN3270 o pasarelas CICS/IMS.
Ataques de Capa de Aplicación
Son más sofisticados y se disfrazan de tráfico legítimo. En z/OS, pueden incluir la sobrecarga de un CICS Web Gateway, un servidor HTTPD o un endpoint MQ REST/API. Al parecer tráfico válido, estos ataques suelen evadir los filtros tradicionales y requieren análisis avanzado para su detección.
Cómo defenderse de un ataque DDoS
Protegerse frente a DDoS en entornos híbridos con mainframe requiere una estrategia en capas adaptada al ecosistema z/OS:
- Protección perimetral de red
- Utilizar cortafuegos, IDS/IPS, balanceadores de carga y servicios de mitigación en la nube para absorber ataques volumétricos.
- Endurecer routers y switches conectados al SYSPLEX y supervisar patrones de tráfico anómalos.
- Endurecimiento del z/OS
- Configurar el Communications Server con límites de conexión, tiempos de espera y alertas de colas.
- Aplicar reglas RACF para restringir el acceso a servicios TCP/IP (TN3270, FTP, HTTP, MQ).
- Implementar IPSec o TLS para proteger las comunicaciones y reducir la exposición.
- Monitoreo y detección de anomalías
- Analizar los registros SMF/TCPIP, NetView o herramientas SIEM para detectar volúmenes inusuales.
- Vigilar el estado de los enlaces de acoplamiento, canales de E/S y uso de CPU/memoria en las LPARs.
- Respuesta e incidentes
- Definir procedimientos de escalado y límites para aislar LPARs o redirigir tráfico cuando se detecte un ataque.
- Realizar simulacros de DDoS que incluyan servicios del mainframe y pruebas de failover del SYSPLEX.
- Considerar escenarios combinados de DDoS y bomba lógica durante los ejercicios de resiliencia.
Resiliencia ante DDoS en ecosistemas mainframe
Las entidades financieras modernas dependen de infraestructuras híbridas donde el mainframe sigue siendo el núcleo operativo. Un solo ataque DDoS sobre servicios z/OS puede interrumpir miles de transacciones por segundo y afectar el cumplimiento normativo, especialmente en el marco de la regulación DORA.
Desarrollar resiliencia frente a DDoS no es solo una cuestión de red, sino de continuidad operativa y cumplimiento normativo.
En Bsecure – The Mainframe & Security Company, ayudamos a proteger entornos IBM z/OS mediante evaluaciones continuas de riesgo, pruebas de resiliencia y validación automatizada de controles con nuestra plataforma DataPASS.
Para ampliar información, consulta nuestro artículo sobre bombas lógicas en mainframe z/OS.