En el primer trimestre de 2020, se observó un gran aumento en el tráfico de Internet y los ataques DDoS de la capa de red. Durante el confinamiento, Internet fue la herramienta que permitió el teletrabajo, mantuvo a las comunidades conectadas, facilitó la educación, las compras en línea, el entretenimiento en las redes sociales y los servicios web, como el reparto de comida y los videojuegos. Algunos países experimentaron un aumento de hasta un 50 % en el tráfico web. A medida que aumentaba la actividad en línea, también lo hacían los ataques DDoS en la capa de red. Cuando la actividad en línea aumenta, los atacantes DDoS detectan vulnerabilidades. Saben que un mayor uso de Internet genera mayores ingresos por minuto a las empresas en línea.
Durante los periodos de picos de tráfico, las empresas tienen mucho más que perder, por lo que los ciberdelincuentes se sienten aún más motivados para emplear tácticas DDoS. El ITC (Information Technology Industry Council) calcula que el coste medio de una interrupción es de 5600 dólares por minuto. Esto significa que, hoy día, un ataque DDoS que tenga éxito podría costar a una empresa hasta 336 000 dólares por cada hora de inactividad. El aumento del coste del tiempo de inactividad ha llevado a algunas organizaciones a pagar los rescates exigidos por los atacantes DDoS para que su infraestructura de red o sus propiedades web volvieran a estar en funcionamiento.
La mayoría de los ataques a la capa de red que observamos durante el primer trimestre de 2020 fueron a pequeña escala, medidos por tasa de bits. El 92 % de ellos fueron de menos de 10 Gigabits por segundo (Gbps), frente al 84 % del cuarto trimestre de 2019. En cuanto a la tasa de paquetes, la mayoría de los ataques alcanzaron un máximo inferior a 1 millón de paquetes por segundo (pps). Esta tasa, junto con la tasa de bits, indica que los atacantes en este momento estaban centrando sus esfuerzos y recursos en generar ataques a pequeña escala.
Además de las velocidades de paquetes y de bits, la duración de los ataques también disminuyó. El 79 % de los ataques DDoS en el primer trimestre de 2020 duraron entre 30 y 60 minutos, en comparación con otros ataques que pueden durar días o meses. Parece una buena noticia, pero no lo es. Una de las teorías de esta tendencia hacia ataques más pequeños y breves es que ahora es más fácil y barato lanzar un ataque DDoS que en el pasado. De hecho, los ataques de denegación de servicio distribuido están ahora disponibles como servicio. Según Kaspersky, un ataque de 5 minutos puede costar tan solo 5 dólares en los rincones más oscuros de Internet.
Aunque la mayoría de los ataques observados en el primer trimestre de 2020 fueron de menos de 10 Gbps, los ataques a gran escala siguieron siendo frecuentes. En marzo, el mayor ataque del trimestre alcanzó un pico de más de 550 Gbps. Cloudflare observó un aumento en los ataques DDoS a gran escala contra empresas más grandes a partir de mediados de marzo. Detrás de estos ataques pueden estar agentes estatales nacionales, hacktivistas o delincuentes cibernéticos movidos por un rescate con el objetivo de interrumpir la actividad de la empresas cuyos empleados trabajan a distancia. Otros atacantes pueden intentar aprovecharse de servicios públicos vulnerables, como las redes eléctricas y las explotaciones petrolíferas, en épocas difíciles.
El número medio de vectores de ataque empleados en los ataques DDoS por dirección IP al día se ha mantenido aproximadamente en 1,4. Se observó que el número máximo de vectores de ataque dirigidos a una IP en un día fue de 10. Durante el último trimestre, hemos sido testigos de más de 32 tipos diferentes de vectores de ataque en las capas 3 y 4. Los ataques ACK (señal de acuse de recibo) fueron mayoritarios (55,8 %) en el primer trimestre, seguidos de los ataques SYN (solicitud de sincronización), con un 14,4 %, y Mirai (malware de botnet), que sigue representando una parte importante de los ataques (13,5 %). Juntos, los ataques DDoS, SYN y ACK conformaron más del 70 % de todos los vectores de ataque a las capas 3 y 4 en el primer trimestre.
El incremento del uso de Internet a nivel global ha promovido un aumento de los ataques DDoS.
Los ataques fueron a menor escala y más breves, posiblemente porque son más baratos y fáciles de lanzar.
Los ataques a gran escala contra empresas más grandes siguen siendo frecuentes.
El aumento sin precedentes de la frecuencia de ataques DDoS obliga a las empresas en línea de todo el mundo a desarrollar una postura de seguridad que garantice la seguridad, la rapidez y la fiabilidad de sus redes, aplicaciones y sitios web. Ya hemos visto cuál puede ser el costo en términos de pérdida potencial de ingresos por solo una hora de negación de servicio.
Entonces, ¿cuál es el enfoque más rentable para lograr estos objetivos en la era del mundo conectado, donde las empresas deben diferenciar rápidamente el tráfico legítimo y no deseado?
Un método para mitigar los ataques DDoS es el uso de infraestructura de hardware para analizar y filtrar el tráfico local en el perímetro de la red. La desventaja de este enfoque es que estos ataques más breves requieren tácticas de mitigación rápidas de 10 segundos como máximo. Muchos proveedores heredados ofrecen acuerdos de nivel de servicio con un tiempo de mitigación de hasta 15 minutos.
Otros métodos de mitigación de DDoS incluyen redirigir el tráfico de red a través de centros de filtrado para cribar el tráfico malicioso del tráfico legítimo. Sin embargo, como muchos ataques DDoS están localizados, los centros de filtrado no son una solución viable, ya que su número es limitado y están dispersos geográficamente, lo que puede suponer un "cuello de botella" debido al recorrido de ida y vuelta del tráfico desde los mismos.
Una red en la nube es la única defensa verdaderamente viable contra los sofisticados ataques DDoS de hoy día. Activa la protección contra DDoS en un único plano de control en el perímetro de la red para detener los ataques lo más cerca posible de su origen, de modo que los servidores de origen permanezcan seguros y protegidos tanto si se encuentran en entornos locales como en la nube. Esta protección unificada de la red a gran escala es capaz de aprender continuamente de cada ataque y de compartir de forma automática la información para impedir el siguiente. Además, ofrece una sólida seguridad DDoS a toda tu empresa sin ralentizar el rendimiento de la red y las aplicaciones, lo que puede afectar negativamente a los ingresos.
Estas conclusiones se extrajeron de la red de Cloudflare, que abarca más de 200 ciudades en más de 100 países y bloquea más de 72 000 millones de ciberamenazas al día. Gracias a nuestra perspectiva única e integral de todo el panorama de amenazas DDoS, Cloudflare puede recopilar una gran cantidad de información sobre estos ataques generalizados a medida que evolucionan.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.