Un ataque de reflexión es un compromiso de la seguridad de un servidor que se logra engañándolo para que entregue un código de seguridad para permitir que un pirata informático acceda a él. Los ataques de reflexión son posibles cuando los servidores utilizan un protocolo simple para autenticar a los visitantes. Agregar algunos pasos para aumentar la seguridad puede dificultar estos ataques, lo que obliga a los piratas informáticos a buscar otras vías de ataque. Los profesionales de la seguridad pueden evaluar un sistema para determinar si la seguridad es suficiente para la aplicación.
Este tipo de ataque aprovecha una técnica de seguridad común conocida como autenticación de desafío-respuesta, que se basa en el intercambio de información segura entre el usuario autorizado y el servidor. En un ataque de reflexión, el pirata informático inicia sesión y recibe un desafío. El servidor espera una respuesta en forma de respuesta correcta. En cambio, el hacker crea otra conexión y envía el desafío al servidor. En un protocolo débil, el servidor devolverá la respuesta, lo que permitirá al pirata informático enviar la respuesta a lo largo de la conexión original para acceder al servidor.
El uso de proxies y otras herramientas a lo largo de una conexión puede dificultar un ataque de reflexión, al igual que hacer algunos cambios en el protocolo utilizado por el servidor. Estas capas adicionales de seguridad pueden llevar más tiempo y ser costosas de implementar, y es posible que no se proporcionen necesariamente de forma predeterminada en un sistema con necesidades de seguridad relativamente bajas. Los sistemas que utilizan un enfoque de autenticación de desafío-respuesta para la seguridad pueden ser vulnerables a ataques de reflexión a menos que se modifiquen para abordar los agujeros de seguridad más comunes.
Otras técnicas para contrarrestar un ataque de reflexión pueden incluir monitorear las conexiones al servidor en busca de signos de actividad sospechosa. Alguien que intente obtener acceso no autorizado puede comportarse de manera extraña, como se ve, por ejemplo, si alguien inicia sesión y se abre otra conexión casi de inmediato para permitir que esa persona redireccione el desafío al servidor. Esta podría ser una señal de advertencia de que alguien está intentando un ataque de reflexión.
La seguridad informática generalmente incluye varios niveles. Si uno falla, como por ejemplo si un servidor se confunde con un ataque de reflexión, pueden entrar en juego otros niveles para minimizar el daño. Estas capas de seguridad pueden ser implementadas por profesionales de la seguridad utilizando una variedad de programas para ofrecer protección redundante, particularmente a los sistemas que manejan información confidencial como datos gubernamentales. Para una seguridad extrema, un sistema puede mantenerse fuera de la red y acceder a él solo en persona en una instalación que proteja el servidor y el equipo de acceso.