Los atacantes se dirigen cada vez más a la infraestructura de red pública. A principios de 2024, los ataques de denegación de servicio distribuido (DDoS) contra el DNS, que han sido una amenaza tradicional para esta infraestructura, aumentaron un 80 % en términos interanuales. Los ataques DDoS de rescate también repuntaron en términos intertrimestrales durante un año. En general, se produjo un aumento interanual del 20 % en los ataques DDoS a mediados de 2024.
Estos ataques están poniendo en riesgo una serie de aplicaciones y servicios clave, desde aplicaciones móviles para clientes y portales de socios hasta servicios de VPN y correo electrónico. Además de interrumpir las operaciones, los distintos tipos de ataques DDoS pueden dar lugar a importantes fugas de datos.
Los firewalls de hardware tradicionales y otras aplicaciones locales tienen dificultades para seguir el ritmo de las amenazas. Esos sistemas no solo tienen limitaciones críticas que pueden exponer a las organizaciones, sino que complican la gestión de la seguridad.
Para proteger la infraestructura de red pública, las organizaciones deben dejar atrás estos sistemas heredados. Las empresas que han adoptado estrategias de seguridad modernas y basadas en la nube han tenido más éxito a la hora de detener los ataques y mantener esta infraestructura crítica en funcionamiento.
Hoy en día, las organizaciones tienen que proteger su infraestructura de red pública contra diversas amenazas. Los atacantes pueden realizar tareas de reconocimiento y análisis de puertos en un intento de encontrar vulnerabilidades que puedan explotarse en el futuro antes de que se desarrolle o instale un revisión.
Muchas organizaciones también experimentan varios tipos de ataques DDoS. Los ataques DDoS volumétricos, por ejemplo, entregan una cantidad abrumadora de tráfico para procesar. Los ataques DDoS de protocolo utilizan técnicas como las inundaciones SYN para sobrecargar el número de sesiones. Por su parte, los ataques DDoS a la capa de aplicación utilizan la comunicación con los protocolos de la capa de aplicación para provocar una denegación de servicio.
Las soluciones basadas en hardware, como los firewalls tradicionales, no pueden proteger adecuadamente contra estas amenazas. En primer lugar, tienen una visibilidad limitada, ya que no pueden ver todo el tráfico de la empresa.
En segundo lugar, su capacidad también es limitada y poco flexible, lo que significa que no pueden escalar fácilmente para combatir las amenazas volumétricas. Por ejemplo, en febrero de 2023, Cloudflare detectó docenas de ataques DDoS hipervolumétricos. El mayor alcanzó un pico de más de 71 millones de solicitudes por segundo, que fue, en ese momento, el mayor ataque registrado. Los ataques se dirigieron a un popular proveedor de videojuegos, empresas de criptomonedas, proveedores de alojamiento y plataformas de informática en la nube. La mayoría de los ataques volumétricos no son tan grandes, pero las soluciones tradicionales basadas en hardware son incapaces de abordar ataques volumétricos que sean siquiera una parte de este tamaño.
Para compensar las limitaciones del firewall, las organizaciones suelen añadir "controles auxiliares para firewalls". Podrían implementar dispositivos locales para proteger las aplicaciones, como un firewall de aplicaciones web (WAF), añadir centros de filtrado para filtrar el tráfico antes de que llegue a la organización, o emplear el filtrado para ISP para absorber el tráfico de un ataque.
Pero estos controles auxiliares plantean sus propios problemas. Pueden degradar las experiencias de los usuarios y añadir complejidad de gestión. Si los controles auxiliares se implementan como dispositivos físicos, también podrían tener el mismo problema clave que los firewalls de hardware — incapacidad para escalar adecuadamente y detener grandes ataques.
La infraestructura de red pública está mejor protegida con una estrategia de seguridad por capas, o de protección integral. Una de esas capas debería filtrar el tráfico entrante antes de que llegue a la infraestructura de red de la empresa. Ese filtro no debe basarse en un dispositivo de hardware estático. Tiene que poder escalar dinámicamente para poder absorber incluso los mayores ataques globales.
La seguridad basada en la nube puede proporcionar recursos más flexibles y escalables para proteger contra estas amenazas. En concreto, una conectividad cloud, que ofrece servicios de seguridad y redes nativos de nube en una plataforma unificada, puede proporcionar la combinación adecuada de capacidades para elaborar una estrategia moderna y por capas.
La red global de una conectividad cloud sirve como primera línea de defensa para la infraestructura de red pública. La red puede difundir y absorber el tráfico de amenaza, al tiempo que proporciona a las organizaciones una mayor visibilidad de lo que están afrontando. Cloudflare, por ejemplo, cuenta con 321 Tbps de capacidad de red, que es muy superior a los mayores ataques DDoS jamás registrados.
Cloudflare también ha mitigado ataques DDoS que presentaban una velocidad de paquetes y de solicitudes HTTP sumamente elevadas. Por ejemplo, en septiembre de 2024, Cloudflare mitigó más de cien ataques DDoS hipervolumétricos, muchos de los cuales superaron los 2000 millones de paquetes por segundo y los 3 terabits por segundo (TB/s). El mayor ataque alcanzó un máximo de 3,8 TB/s.
Una conectividad cloud también puede ofrecer servicios de seguridad adicionales, disponibles en el perímetro, para reforzar esa protección integral. Los firewalls y el filtrado de DDoS protegen contra las amenazas conocidas y emergentes, incluidos los ataques volumétricos. Los servicios de seguridad de aplicaciones protegen las aplicaciones y las API de ataques DDoS, vulnerabilidades, ataques a la cadena de suministro, bots y fraude.
La componibilidad de los servicios de conectividad cloud proporciona la agilidad y la flexibilidad necesarias. Las organizaciones pueden añadir o ajustar los servicios de seguridad según sea necesario para defenderse de las nuevas amenazas y complementar su estrategia Zero Trust.
La infraestructura de red pública es esencial para las empresas modernas, pero es vulnerable a amenazas que las soluciones de hardware basadas en dispositivos no pueden abordar adecuadamente. La adopción de una conectividad cloud como base para una estrategia por capas basada en la nube puede ayudar a tu organización a superar las limitaciones de las soluciones tradicionales. Puedes filtrar y bloquear una amplia gama de amenazas para proteger la infraestructura de red de manera eficaz y abordar los requisitos de la red pública.
La transición de los dispositivos tradicionales a la seguridad en la nube para tu red pública también puede ayudarte a avanzar en transformaciones más importantes de la red y la seguridad. La migración de más redes y seguridad a la nube te brindará mayor flexibilidad para conectar usuarios, aplicaciones y redes. Además, puedes incorporar más fácilmente nuevas funciones de seguridad para protegerte contra las amenazas en constante evolución. En última instancia, estas transformaciones pueden ayudar a mejorar la agilidad empresarial y fomentar la innovación, todo ello al mismo tiempo que se controla la complejidad informática.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre cómo una conectividad cloud puede proteger la infraestructura de red pública en el documento técnico "El papel de la protección de red en la nube".
Después de leer este artículo podrás entender:
Cuáles son las principales amenazas para la infraestructura de red pública
Cuáles son las limitaciones de los firewalls basados en hardware
Por qué la seguridad basada en la nube puede proteger mejor las redes públicas