Ataque Ping de la Muerte (Ping of Death): Una Peligrosa Variante del Ataque DDoS

Un ataque malicioso regresa después de años de ausencia, apuntando a sistemas desactualizados y hardware antiguo.

Los ataques a la red fueron de los primeros en la historia de la informática, ya que esta nace como evolución de las matemáticas y como extensión de la telefonía y las redes de comunicación. La violación de seguridad de una red y la alteración del funcionamiento de un sistema son siempre las primeras necesidades de un actor malicioso que decide atacar cualquier sistema informático.

A lo largo del tiempo hemos visto diferentes metodologías de ataque, que han evolucionado y se han extendido para sortear las protecciones del sistema. La técnica más conocida es DDoS, que bloquea el tráfico normal de un servidor, servicio o red para sorprender a la víctima.

Esta táctica se ha mejorado hasta convertirse en una variante más peligrosa: el Ping de la Muerte, que exploraremos a continuación.

¿Qué es el Ping de la Muerte?

El ataque Ping de la Muerte (ping of death en inglés)  es una evolución de las técnicas DDoS (Distributed Denial of Service) y DoS (Denial of Service), que explota las vulnerabilidades en la fragmentación de paquetes intercambiados en la red mediante el protocolo ICMP (Internet Control Message Protocol).

Esto ocurre al alterar el tamaño de los paquetes, “inflándolos” hasta superar el límite del sistema receptor. Al llegar a su destino, su tamaño excesivo causa un retraso. Con un exceso de estos paquetes, el sistema víctima sufre un bloqueo y la red un colapso de tráfico.

Las víctimas suelen ser:

• Sistemas desactualizados
• Software de monitoreo sin parches que son víctimas de la sobrecarga de mensajes ping transferidos con el protocolo ICMP.

¿Cómo funciona un ataque de tipo Ping de la Muerte?

Cuando se envía un mensaje, el protocolo ICMP recibe una respuesta llamada ping. Esto determina la velocidad de respuesta de una red.

El Ping de la Muerte se basa en la longitud de los paquetes que soportan el estándar IPv4, de 65,535 bytes. No todas las organizaciones pueden soportarlos, ya que aún se usan sistemas antiguos.

Si un mensaje supera la longitud establecida, viola las reglas IP y se vuelve peligroso para el sistema receptor. Los atacantes envían múltiples paquetes divididos en fragmentos que, al recomponerse, provocan una sobrecarga.

La clave está en que los paquetes no contienen información sobre el peso total del mensaje original. El sistema receptor no se da cuenta de que el paquete recompuesto lo hará fallar.

El Ping de la Muerte es fácil de realizar con herramientas de monitoreo.

¿Funciona el Ping de la Muerte hoy en día?

Aunque se presentó en 1996 y fue común en sistemas basados en Windows 95, el ataque sigue siendo una alternativa para sistemas inseguros y desactualizados.

A pesar del protocolo IPv6, en 2013 se descubrió una vulnerabilidad en sistemas operativos Microsoft Windows. El stack TCP/IP no asignaba correctamente espacio en memoria al recibir paquetes IPv6 inflados, abriendo puertas a un ataque RDoS (Remote Denial of Service). Esto se aprovechaba de una vulnerabilidad en las fuentes OpenType de Windows XP y Windows Server 2013. Microsoft corrigió la vulnerabilidad en agosto de 2013 (MS13-065, CVE-2013-3183).

Sin embargo, en octubre de 2020 se descubrió otra vulnerabilidad en Windows 10 que afectaba a TCPIP.sys, un driver del kernel que permite la ejecución arbitraria de código (ACE).

Estos ejemplos demuestran que el Ping de la Muerte es una amenaza real, ya que muchas organizaciones usan sistemas operativos antiguos o protocolos obsoletos sin parches.

¿Cómo protegerse de un ataque Ping de la Muerte?

Algunas soluciones para prevenir el ataque Ping de la Muerte son:

• Usar hardware y software actualizados: La mejor solución es abandonar sistemas antiguos en favor de hardware nuevo. Es una inversión a largo plazo.
• Adoptar sistemas operativos actuales: La principal causa de ataques son los sistemas sin parches de seguridad o sin soporte. Se deben usar sistemas operativos modernos y actualizados.
• Parches de actualización: La mejor protección es la actualización constante con los últimos parches de seguridad.
• Bloquear mensajes Ping ICMP: Muchas redes usan reglas de firewall que bloquean los mensajes ping. Esto evita el Ping de la Muerte, pero reduce el rendimiento y bloquea pings válidos.
• Reducir la fragmentación: Con la aplicación correcta de Maximum Transmission Unit (MTU), se puede establecer la regla de transmisión de paquetes sin fragmentación. Esto bloquea a los atacantes, ya que el Ping de la Muerte depende de la fragmentación.
• Implementar IDS: Un Sistema de Detección de Intrusiones (IDS) puede detectar fragmentaciones anómalas y bloquear paquetes con dimensiones superiores al límite establecido.
• Packet Size Validation: La validación de los paquetes al recomponerse previene desbordamientos de búfer y errores relacionados con tamaños superiores a los límites.

Conclusión

El Ping de la Muerte representa la ingenuidad en la cultura informática actual. Usar sistemas antiguos expone a uno mismo y a la organización a quienes buscan un beneficio fácil. La recomendación es mantenerse actualizado y revisar constantemente las políticas de seguridad informática, ya que prevenir es mejor que curar.