Un ataque pitufo (del inglés, smurf attack) es un ataque de denegación de servicio distribuido (DDoS) en el que un intruso inunda el servidor de la víctima con paquetes falsos de Protocolo de Internet (IP) y de Protocolo de Mensajes de Control de Internet (ICMP). Como resultado, el sistema del objetivo queda inutilizado. Este tipo de amenaza recibe su nombre de una herramienta de malware llamada DDoS.Smurf que fue muy utilizada en la década de 1990. El pequeño paquete ICMP generado por esa herramienta de malware puede causar un daño significativo en el sistema de la víctima, de ahí el nombre de pitufo.
¿Cómo funciona un ataque pitufo?
Los ataques smurf son similares a los ataques de denegación de servicio (DoS) llamados ping floods, que inundan el ordenador de la víctima con ICMP Echo Requests. Los pasos que sigue un ataque smurf son los siguientes:
- El atacante localiza la dirección IP de la víctima.
- El atacante crea un paquete de datos falsificado: el malware smurf se utiliza para crear un paquete de datos falso, o ICMP Echo Request, cuya dirección de origen es la dirección IP real de la víctima.
- El atacante envía ICMP Echo Requests: el atacante envía el paquete a la red de la víctima, haciendo que todos los dispositivos conectados dentro de la misma respondan al ping mediante paquetes ICMP Echo Reply.
- El sistema de la víctima es inundado con respuestas ICMP: la víctima recibe una avalancha de paquetes, lo que provoca una denegación de servicio para el tráfico legítimo.
- El servidor de la víctima se sobrecarga: con suficientes paquetes de respuesta ICMP reenviados, el servidor de la víctima queda inoperativo.
Amplificadores de ataque pitufos
Otro componente de un ataque pitufo que aumenta su potencial de daño es el uso de amplificadores. El factor de amplificación se relaciona con el número de hosts en la red de difusión IP de la víctima.
Por ejemplo, una red de difusión IP con 300 hosts producirá 300 respuestas por cada solicitud de eco ICMP falsa. Esto permite a un atacante con escaso ancho de banda inutilizar con éxito el sistema de la víctima, incluso si ese sistema tiene un ancho de banda muy superior. Los amplificadores pueden desplegarse siempre que el atacante mantenga la conexión y estos estén emitiendo el tráfico ICMP.
Ejemplo de ataque pitufo
Para explicar este tipo de ataque en términos más simples: imagina un estafador (el malware DDoS.Smurf) que llama a una oficina (la red de difusión IP) haciéndose pasar por el director general de la empresa.
En nuestro ejemplo, el estafador pide a un manager que diga a todos los empleados que devuelvan la llamada (las solicitudes de eco ICMP) a su número privado para dar una actualización del estado del proyecto, pero el número privado (la dirección IP falsa) en realidad pertenece a la víctima que ha escogido el estafador. Como resultado, la víctima recibe una avalancha de llamadas telefónicas no deseadas (las ICMP Echo Replies) de cada empleado de la oficina.
Tipos de ataques smurf
Los ataques smurf se clasifican generalmente en básicos o avanzados. La única diferencia en el tipo de ataque es el volumen de daño que produce.
- Básico: el atacante inunda la red de una sola víctima con paquetes ICMP Echo Request.
- Avanzado: idéntico al básico, salvo por el hecho de que los paquetes Echo Request están configurados para que puedan responder a terceras víctimas adicionales, lo que permite al atacante dirigirse a varias víctimas a la vez.
¿Cuál es la diferencia entre un ataque pitufo y un ataque DDoS?
Un ataque DDoS tiene como objetivo impedir que las víctimas accedan a su red inundándola con peticiones de información falsas. Un ataque pitufo es una forma de ataque DDoS que inutiliza la red de la víctima de forma similar, aunque la particularidad es que lo hace explotando vulnerabilidades IP e ICMP. Aprovechar estas vulnerabilidades es lo que diferencia a un ataque smurf, aumentando a su vez el daño potencial.
¿Cuál es la diferencia entre un ataque Smurf y un ataque Fraggle?
Tanto un ataque Fraggle como un ataque Smurf son formas de amenaza DDoS que tienen como objetivo inundar el sistema de la víctima con peticiones de información falsas. La diferencia es que mientras un ataque Smurf utiliza paquetes ICMP falsos, un ataque Fraggle utiliza tráfico de Protocolo de Datagrama de Usuario (UDP) falso para lograr ese mismo objetivo. El resto del proceso de ataque es igual.
Consecuencias de un ataque pitufo
Aunque el objetivo de un ataque pitufo es inutilizar el sistema de la víctima durante días u horas, también puede ser el primer paso hacia amenazas más graves como el robo de datos o de identidad. Las posibles consecuencias de un ataque smurf son las siguientes:
- Pérdida de ingresos: el servidor de una empresa que no funciona durante horas o días suele suponer la interrupción de las operaciones comerciales, lo que acarrea una pérdida de ingresos y la frustración de los clientes.
- Robo de datos: los atacantes pueden obtener acceso no autorizado a los datos del servidor de la víctima durante un ataque.
- Daño a la reputación: si los datos confidenciales de los clientes se filtran después de un ataque, puede provocar una brecha permanente en la confianza y fidelidad hacia la organización.
Cómo protegerte
Para evitar un ataque pitufo es importante que tu red sea segura, algo que comienza con tu router. Para protegerte, tendrás que configurar la forma en la que tus routers y dispositivos interactúan con los paquetes ICMP. Eso implica dos importantes pasos de prevención:
- Desactiva la difusión de IP en todos los routers de la red.
- Configura tus dispositivos de red para que no respondan a las solicitudes de eco ICMP.
Si tu router actual es un modelo antiguo, es aconsejable invertir en uno nuevo, ya que los modelos más nuevos suelen incluir las configuraciones mencionadas por defecto.
Además de estos pasos, invertir en una solución antivirus y antimalware para asegurar que tu cortafuegos añade una protección adicional a tu red.
Como ocurre con la mayoría de los ciberataques, la prevención suele ser la mejor estrategia de defensa. Aunque los ataques pitufos no son nuevos, siguen siendo una táctica común entre los ciberdelincuentes que buscan explotar redes vulnerables. Para protegerte aún más de los ciberataques en todas sus formas, estudia la posibilidad de instalar un software antivirus de confianza para mantener todos tus dispositivos seguros.