¿Qué es un ataque Teardrop y cómo prevenirlo?

Un ataque Teardrop es un tipo de ataque de denegación de servicio (DoS) que usa paquetes fragmentados de datos para inundar el servidor o la red de una víctima. Dado que el servidor no puede reagrupar los paquetes, se produce una sobrecarga y un apagado consiguiente del sistema.

Por lo general, los ataques Teardrop apuntan a servidores que tienen una vulnerabilidad de TCP/IP existente. En última instancia, aprovechan la manera en que se fragmentan y reagrupan los paquetes de IP para evadir los controles de seguridad tradicionales de un servidor o una red local. Dado que muchas organizaciones a menudo ejecutan sistemas con software desactualizado o sin parches, los ataques Teardrop están en buenas condiciones de aprovechar estas vulnerabilidades. Como resultado, los ataques Teardrop son más comunes en gobiernos locales, hospitales y bancos pequeños, en especial aquellos que usan sistemas operativos muy antiguos (como Windows 95 o versiones anteriores).

En esta guía exploramos los ataques de Teardrop en detalle, incluido qué son, cómo funcionan y cómo puedes defenderte, de modo que puedas minimizar el riesgo de convertirte en una víctima de estos ataques, o similares, en el futuro.

¿De dónde vienen los ataques Teardrop?

Imagina que estás realizando tus actividades cotidianas, trabajando desde tu casa (o en la oficina), ocupándote de tus cosas cuando, de repente, tu máquina local se apaga sin advertencias previas. O quizás tu red local se desconecta en tu espacio de oficina y no puedes acceder a los datos locales que necesitas. Eso sucede durante los ataques de denegación de servicio y denegación de servicio distribuido.

Los ciberataques de DDoS, que son tan molestos como potencialmente graves, son comunes en los EE. UU. En septiembre de 2017, Google (y una gran parte de su infraestructura digital) fue víctima durante seis meses de estos ataques, que alcanzaron un tamaño de 2.54 terabits por segundo. GitHub fue víctima tanto en 2015 como en 2018, e incluso AWS recibió un ataque en 2020 que alcanzó 2.3 terabits por segundo.

Lamentablemente, para el usuario promedio de la actualidad, los ataques de DDoS y DoS adoptan una variedad de formas. Estos ataques evolucionaron considerablemente desde su llegada inicial, como sucedió con gran parte del panorama de la ciberseguridad en los últimos 20 años. Uno de los más difíciles de detectar probablemente es el ataque Teardrop. Si no tienes cuidado, un ataque Teardrop (llamado así por su enfoque gradual) exitoso podría destruir por completo tu computadora (o el sistema al que está conectada) y dejarla sin respuesta.

¿Cómo funciona un ataque Teardrop?

El sistema digital promedio está desarrollado para gestionar una determinada cantidad de datos entrantes al mismo tiempo. Como resultado, los datos, o el tráfico de la red, suelen desglosarse en pequeños fragmentos y, luego, etiquetarse con un número específico en algo que conocemos como el campo "Fragment Offset". Volver a organizarlos en el orden correcto una vez que llegan es lo que suele suceder cuando no hay un ataque de por medio.

Sin embargo, durante un ataque Teardrop, el ciberdelincuente inyecta un error en el campo "Fragment Offset", que interrumpe el proceso de resecuenciamiento. Como resultado, tu sistema recopila un grupo grande de datos fragmentados dañados que no se pueden reagrupar adecuadamente. Lamentablemente, tu sistema se sobrecarga y se bloquea sin advertencias (adecuadas).

Ejemplos de ataques Teardrop

Con el paso de los años, se produjeron varios ataques notables en sistemas grandes que muchas personas del sector de la ciberseguridad pueden llegar a conocer. Estos incluyen (entre otros):

Windows NT y 95: los ataques Teardrop primero tuvieron un gran impacto en Windows 3.1x, NT y 95 a finales de la década de 1990, lo que hizo que Microsoft lanzara un parche para corregir la vulnerabilidad como respuesta a los diversos casos de error en el sistema.
Sistemas locales: estos tipos de ataques eran frecuentes en los sistemas Windows y Linux heredados, principalmente en Windows 95 y kernels de Linux anteriores a 2.1.63.
Android/Rowhammer: un ataque de naturaleza similar a la de un ataque Teardrop conocido como RAMpage amenazó a todos los dispositivos Android entre 2012 y 2018.

Prevención de ataques Teardrop

Hay varias formas de prevenir un ataque Teardrop en tu red o sistema local. El siguiente consejo de ciberseguridad funcionará para diferentes amenazas digitales y malware, no solo para los ataques Teardrop.

Actualiza tu sistema operativo

Primero y principal, te recomendamos actualizar todo tu software y sistema operativo, y asegurarte de descargar todos los parches de seguridad disponibles de desarrolladores relevantes. Como explicamos antes, las vulnerabilidades del sistema suelen ser el vector de entrada para los ataques Teardrop, de modo que esta es una forma sencilla de proteger tu máquina local y red en general.

Bloquea los puertos

Si no puedes instalar parches en tu software antiguo o en aplicaciones críticas, una de las mejores formas de prevenir los ataques Teardrop es deshabilitar los puertos 139 y 445. Al hacerlo, bloquearás mensajes del servidor potencialmente peligrosos en los sistemas que no pudieron recibir las actualizaciones de seguridad de sus proveedores.

Activa tu firewall

Una de las formas más simples de prevenir un ataque Teardrop (y proteger tu máquina local en general) es asegurarte de tener un firewall o una solución de ciberseguridad integral y de renombre instalada en tu máquina o red. Recomendamos que utilices nuestro software específico de seguridad Kaspersky Premium, que ofrece firewall inquebrantable, actualizaciones frecuentes y ayuda y soporte coherentes.

Preguntas frecuentes