Los ataques de denegación de servicio distribuido (DDoS) son ciberataques que tienen como objetivo saturar e interrumpir los servicios en línea, impidiendo su acceso. Los ataques DDoS, que aprovechan una red de dispositivos distribuidos, saturan el sistema del objetivo con un número excesivo de solicitudes, que consumen el ancho de banda o agotan los recursos informáticos hasta que finalmente fallan. Estos ataques pueden ser muy eficaces contra sitios poco protegidos y, cuestan relativamente poco a los atacantes. A pesar de ser uno de los tipos de ataque más antiguos, los ataques DDoS siguen siendo una amenaza constante. A menudo se dirigen contra sitios web, servicios o infraestructuras críticas conocidos o con mucho tráfico. Cloudflare ha mitigado más de 14,5 millones de ataques DDoS desde principios de 2024, una media de 2200 ataques DDoS por hora. (Nuestro informe sobre amenazas DDoS del 3.er trimestre de 2024 contiene estadísticas complementarias relacionadas).
Si observamos las métricas asociadas con importantes ataques mitigados en los últimos 10 años, ¿muestra el gráfico un aumento constante en una curva exponencial que se ve cada vez más pronunciada, especialmente en los últimos años, o se acerca más a un crecimiento lineal? Descubrimos que el crecimiento no es lineal, sino exponencial, y que la pendiente depende de la métrica que estemos analizando.
¿Por qué es interesante esta pregunta? Sencillo. La respuesta proporciona información útil sobre la evolución de las estrategias de los atacantes, la sofisticación de sus herramientas y la capacidad de respuesta de los mecanismos de defensa.
Por ejemplo, una curva ascendente del número de solicitudes por segundo sugiere que los atacantes están cambiando algo que les permite generar mayores volúmenes de solicitudes. Esta es una información que nos obliga a seguir investigando y a analizar otros datos para comprender si está ocurriendo algo nuevo.
Por ejemplo, en uno de esos momentos, observamos el origen del tráfico y vimos un cambio del espacio de direcciones IP del suscriptor / empresa (lo que sugiere el uso de IoT) al espacio de direcciones IP del proveedor de nube (lo que sugiere el uso de máquinas virtuales), y nos dimos cuenta de que había un cambio en el tipo y las capacidades de los dispositivos utilizados por los atacantes.
Otro ejemplo, cuando se produjo el ataque HTTP/2 Rapid Reset, el número récord de solicitudes por segundo observado en ese momento sugirió que los atacantes estaban empleando una nueva técnica, lo que nos llevó a investigar rápidamente lo que se estaba ejecutando y a adaptar nuestros sistemas de protección.
Definición de ataques individuales
La definición de un ataque individual en el tiempo es sorprendentemente confusa. En primer lugar, el análisis de un ataque puede proporcionar observaciones incoherentes en diferentes capas del modelo OSI. La huella observada en todas estas capas diferentes puede aportar mucha información del mismo ataque. Sin embargo, hay algunas variables que juntas pueden permitirnos crear una huella digital y agrupar un conjunto de eventos para establecer que forman parte del mismo ataque individual. Algunos ejemplos son:
¿Vemos que se utilizan los mismos vectores de ataque en este conjunto de eventos?
¿Todos los ataques se centran en los mismos objetivos?
¿Las cargas malintencionadas de los eventos comparten la misma firma? (Cargas malintencionadas de datos específicos o tipos de solicitud exclusivos de ciertos tipos de ataques o botnets, como Mirai, que pueden utilizar encabezados de solicitud HTTP o estructuras de paquete específicos).
Tamaños de los ataques DDoS
Antes de analizar el crecimiento de los ataques DDoS en los últimos 10 años, demos un paso atrás y echemos un vistazo a las métricas que se suelen utilizar para medirlos, tales como las solicitudes por segundo, los paquetes por segundo y los bits por segundo. Cada métrica captura un aspecto diferente de la escala y el impacto del ataque.
Solicitudes por segundo: mide el número de solicitudes HTTP o de protocolo similar realizadas cada segundo. Esta métrica es especialmente relevante para los ataques a la capa de aplicación (capa 7), donde la intención es saturar una aplicación o servicio específico sobrecargando su gestión de solicitudes. Además, es útil para medir los ataques dirigidos a servidores web, API o aplicaciones porque refleja el volumen de solicitudes, no solo la transferencia de datos sin procesar.
Paquetes por segundo: representa el número de paquetes individuales enviados al destino por segundo, independientemente de su tamaño. Esta métrica es fundamental para los ataques a la capa de red (capas 3 y 4), donde el objetivo es sobrecargar la infraestructura de red excediendo su capacidad de procesamiento de paquetes. Esta métrica es útil para los ataques volumétricos, ya que identifica una cantidad de paquetes que pueden afectar a los enrutadores, conmutadores o firewalls.
Bits por segundo: mide el total de datos transferidos por segundo y es especialmente útil para evaluar los ataques a la capa de red que tienen como objetivo saturar el ancho de banda del objetivo o de su proveedor ascendente. Esta métrica es muy utilizada para medir los ataques a las capas 3 y 4, como las inundaciones UDP, donde el ataque pretende bloquear el ancho de banda de la red. Esta métrica suele destacarse para los ataques DDoS porque los valores elevados de bits por segundo (a menudo medidos en gigabits o terabits) indican la saturación del ancho de banda, que es un objetivo común de las campañas DDoS a gran escala.
Evolución del tamaño de los ataques DDoS en la última década
Entonces, ¿cómo ha cambiado el tamaño de los ataques DDoS en la última década? Durante este periodo, los ataques DDoS han aumentado en términos de tamaño y potencia, y cada año tienen la capacidad de ser más perjudiciales.
Si observamos las métricas asociadas con importantes ataques mitigados en los últimos 10 años, ¿parece que estamos ante un aumento constante en una curva exponencial que se ve cada vez más pronunciada, especialmente en los últimos años, o se acerca más a un crecimiento lineal? Descubrimos que es exponencial, así que echemos un vistazo a los detalles de por qué llegamos a esa conclusión.
En este análisis, utilizamos los ataques que Google ha observado desde 2010 hasta 2022 como referencia (figura 1), y ampliamos estos datos con los ataques que Cloudflare ha observado en 2023 y 2024 (figura 2).
Si retrocedemos en el tiempo, a principios de la década de 2010, los mayores ataques se medían en gigabits por segundo (GB/s), pero en la actualidad, se trata de terabits por segundo (TB/s). El número de solicitudes por segundo y bits por segundo también es significativamente mayor en estos días, como veremos.
Los datos de Google que se muestran a continuación en la figura 1 revelan una tendencia al alza de las solicitudes por segundo durante los ataques DDoS observados entre 2010 y 2022, con un pico de 6 millones de solicitudes por segundo (Mrps) en 2020. El aumento pone de manifiesto una escalada significativa del volumen de ataques a lo largo de la década.
Figura 1. Principales ataques DDoS conocidos, 2010-2022. (Fuente: Google)
La figura 2 (a continuación) ofrece una vista de las tendencias observadas en las diferentes métricas. La escalada observada en las estadísticas de Google también es evidente en los datos de Cloudflare sobre importantes ataques DDoS mitigados en 2023 y 2024, que alcanzaron los 201 Mrps (línea verde) en septiembre de 2024. La velocidad de paquetes por segundo muestra (línea azul) un ligero crecimiento exponencial a lo largo del tiempo, de 230 millones de paquetes por segundo en 2015 a 2100 millones de paquetes por segundo en 2024, lo que sugiere que la capacidad de los atacantes es mayor. En cuanto a los bits por segundo, la tendencia también es exponencial y con una curva ascendente más pronunciada (línea roja), de un ataque de 309 GB/s en 2013 a un ataque de 5,6 TB/s (5600 GB/s) en 2024.
Durante aproximadamente la última década, los ataques sobre los que se basan estas métricas han experimentado una tasa de crecimiento significativa:
Los bits por segundo se multiplicaron por 20 entre 2013 y 2024
Los paquetes por segundo se multiplicaron por 10 entre 2015 y 2024
Las solicitudes por segundo se multiplicaron por 70 entre 2014 y 2024
Figura 2. Datos de la figura 1 ampliados con los ataques a gran escala observados por Cloudflare en 2023 y 2024.
Las publicaciones del blog enumeradas en la tabla 1 destacan algunos de los ataques que observamos entre 2021 y 2024.
Mes | Tamaño del ataque | entrada del blog |
Agosto de 2021 | 17,2 Mrps | |
Abril de 2022 | 15 Mrps | |
Junio de 2022 | 26 Mrps | Cloudflare mitiga un ataque DDoS de 26 millones de solicitudes por segundo |
Febrero de 2023 | 71 Mrps | Cloudflare mitiga un ataque DDos sin precedentes de 71 millones de solicitudes por segundo |
Septiembre de 2024 | 3,8 TB/s | Cómo Cloudflare mitiga automáticamente un ataque DDoS de 3,8 TB/s, el mayor registrado |
Octubre de 2024 | 4,2 TB/s | |
Octubre de 2024 | 5,6 TB/s |
Tabla 1. Ataques DDoS importantes observados por Cloudflare entre 2021 y 2024.
En el centro de aprendizaje de Cloudflare puedes encontrar una descripción general de otros ataques DDoS de gran volumen que se han producido en la última década, como el abuso de Memcached en 2018 y los ataques HTTP/2 "Rapid Reset" en 2023.
Duración del ataque como métrica
La duración de los ataques no es una métrica eficaz para calificar la gravedad de los ataques porque determinar la duración de un solo ataque o campaña es difícil, debido a su posible naturaleza recurrente, la posibilidad de que se utilicen una variedad de vectores de ataque al mismo tiempo, o la forma en la que se activen las diferentes capas de defensa con el tiempo.
Los patrones de ataque pueden diferir considerablemente, ya que algunos registran solo un único pico de tráfico, mientras que otros pueden presentar varios picos estrechamente agrupados, o una carga continua mantenida durante un periodo de tiempo, junto con otras características cambiantes.
Tendencia en los tipos de dispositivos utilizados para crear ataques
Los ataques DDoS están pasando cada vez más de las botnets basadas en IoT a botnets más potentes basadas en máquinas virtuales. Este cambio se debe principalmente al incremento de las capacidades de procesamiento y rendimiento de las máquinas virtuales alojadas en la nube, que permiten a los atacantes lanzar ataques masivos con muchos menos dispositivos.
Este cambio se ve facilitado por varios factores. La creación de botnets basadas en máquinas virtuales puede ser más fácil que la creación de botnets basadas en IoT, ya que no requieren necesariamente infecciones de malware generalizadas, porque los atacantes pueden implementarlas en la infraestructura del proveedor de la nube de forma anónima utilizando los datos de pago robados de las fugas de datos o ataques Magecart.
Esta tendencia apunta a la evolución de las tácticas DDoS dado que los atacantes explotan tanto la capacidad de procesamiento de las máquinas virtuales como el acceso anónimo a los recursos de la nube, lo que les permite crear botnets más pequeñas y eficientes capaces de lanzar ataques a gran escala sin las complejidades que implica infectar y gestionar flotas de dispositivos IoT.
¿Cómo ayuda Cloudflare a proteger contra los ataques DDoS?
La conectividad cloud de Cloudflare, desarrollada sobre nuestra amplia red global Anycast, desempeña un papel crucial en la defensa contra los ataques DDoS, ya que aprovecha las capacidades de detección automatizada, de distribución del tráfico y de respuesta rápida. Nuestra conectividad cloud mejora la protección contra DDoS de la siguiente manera:
Detección y mitigación de ataques automatizada: la protección contra DDoS de Cloudflare se basa en gran medida en la automatización. Utilizamos algoritmos de aprendizaje automático para identificar patrones de tráfico sospechosos en tiempo real. La automatización del proceso de detección permite a Cloudflare reconocer y bloquear rápidamente los ataques DDoS sin necesidad de intervención manual, lo cual es fundamental en los ataques de gran volumen que abrumarían a los equipos de respuesta humanos.
Distribución global del tráfico con dirección IP Anycast: la red de Cloudflare abarca más de 330 ciudades en todo el mundo, y el tráfico DDoS se distribuye a través de nuestros numerosos centros de datos. IP Anycast nos permite distribuir el tráfico a través de esta red global, y esta amplia distribución ayuda a absorber y mitigar los ataques a gran escala, ya que el ataque de tráfico no se dirige a un único punto, lo que reduce la presión sobre los servidores y las redes individuales.
Protección por capas: la conectividad cloud de Cloudflare ofrece protección en varias capas, incluidas la capa de red (capa 3), de transporte (capa 4) y de aplicación (capa 7).Este enfoque por capas permite diseñar estrategias de defensa personalizadas en función del tipo de ataque, lo que garantiza que incluso los ataques complejos contra varias capas se puedan mitigar de forma eficaz. Más información sobre la protección contra ataques DDoS a las capas 3, 4 y 7 en nuestra documentación sobre protección contra DDoS.
Mitigación de DDoS ilimitada: pionero en este enfoque desde 2017 para garantizar la seguridad de Internet, Cloudflare ofrece protección contra DDoS ilimitada, lo que significa que los clientes están protegidos sin tener que preocuparse por las limitaciones específicas (de ancho de banda y costes) durante los ataques. Este enfoque ayuda a garantizar que las empresas, independientemente de su tamaño o presupuesto, puedan beneficiarse de una protección contra DDoS.
La infraestructura de nube distribuida y la tecnología avanzada de Cloudflare nos permiten detectar, absorber y mitigar los ataques DDoS de forma escalable y con capacidad de respuesta para evitar el tiempo de inactividad y mantener la fiabilidad del servicio. Para ello, ofrecemos una solución sólida que hace frente a una intensidad y frecuencia cada vez mayores de los ataques DDoS en comparación con a las opciones tradicionales.
La protección contra los ataques DDoS es esencial para organizaciones de todos los tamaños. Si bien son humanos quienes están detrás de estos ataques, son llevados a cabo por bots, por lo que una protección eficaz requiere herramientas automatizadas para contrarrestar las amenazas basadas en bots. La detección y la mitigación en tiempo real deben estar lo más automatizadas posible. Depender únicamente de la intervención humana pone a los equipos de seguridad en desventaja, ya que los atacantes se adaptan a las nuevas barreras y pueden cambiar los vectores de ataque, el comportamiento del tráfico, las firmas de carga malintencionada, entre otros, creando un escenario imprevisto e inutilizando las configuraciones manuales. Los sistemas automatizados de Cloudflare identifican y bloquean continuamente los ataques DDoS en nombre de nuestros clientes, lo que permite una protección personalizada que satisface las necesidades individuales.
Nuestra misión es ayudar a mejorar Internet, y proporcionar capacidad de resistencia frente a las amenazas DDoS es una parte para lograr esta misión.
Más información sobre la protección contra DDoS de Cloudflare en nuestra documentación técnica.