Te damos la bienvenida a nuestro informe sobre amenazas DDoS del tercer trimestre de 2022. Este informe incluye información y tendencias sobre el panorama de las amenazas DDoS, según lo observado en la red global de Cloudflare.
Los ataques DDoS de varios terabytes son cada vez más frecuentes. En el tercer trimestre, Cloudflare detectó y mitigó automáticamente varios ataques de más de 1 Tb/s. El mayor de ellos fue un ataque DDoS de 2,5 Tb/s. Lo lanzó una variante de la botnet Mirai y su objetivo era un servidor Minecraft denominado Wynncraft. Desde la perspectiva de la velocidad de bits, este es el mayor ataque que hemos visto nunca.
Este ataque, multivector, constaba de inundaciones UDP y TCP. No obstante, Wynncraft, un servidor Minecraft de videojuegos de rol multijugador masivo en línea donde cientos, incluso miles, de usuarios pueden jugar en el mismo servidor, ni siquiera notó el ataque, puesto que Cloudflare lo filtró antes de que notaran sus efectos. "Cloudflare nos informó acerca de la gran magnitud del ataque, y nuestra mayor sorpresa fue que ni lo notamos. No tuvimos que mover ni alertar a los jugadores acerca de una interrupción del servicio, ya que ni nuestro rendimiento ni la fiabilidad del sitio se vieron afectados, gracias a que Cloudflare bloqueó el ataque en segundo plano".
Tendencias generales de los ataques DDoS
A nivel general del trimestre, hemos observado lo siguiente:
- Un aumento de los ataques DDoS respecto al año pasado.
- Ataques volumétricos de mayor duración, un pico de los ataques generados por la botnet Mirai y sus variantes.
- Un incremento de los ataques contra Taiwán y Japón.
Ataques DDoS a la capa de aplicación
- El número de ataques DDoS HTTP aumentó un 111 % respecto al año anterior, pero disminuyeron un 10 % frente al trimestre anterior.
- Los ataques DDoS HTTP contra Taiwán se dispararon un 200 % en comparación con el trimestre anterior, mientras que los ataques contra Japón aumentaron un 105 % en el mismo periodo.
- El número de notificaciones de ataques DDoS de rescate se incrementó un 67 % en términos interanuales y un 15 % en términos intertrimestrales.
Ataques DDoS a la capa de red
- El número de ataques DDoS a las capas 3/4 aumentó un 97 % respecto al año anterior y en un 24 % frente al trimestre anterior.
- Los ataques DDoS a las capas 3/4 lanzados por botnets Mirai se dispararon un 405 % en comparación con el trimestre anterior.
- El sector de videojuegos/apuestas fue el que recibió más ataques a las capas 3/4, incluido un ataque DDoS de gran magnitud, de 2,5 Tb/s.
Este informe contempla los ataques DDoS que los sistemas de protección contra DDoS de Cloudflare detectaron y mitigaron de manera automática. Para obtener más información sobre su funcionamiento, consulta esta publicación detallada del blog.
Consulta el informe interactivo sobre DDoS en Cloudflare Radar.
Ataques de rescate
Los ataques DDoS de rescate son ataques donde el atacante exige un pago del rescate, normalmente en bitcoin, para detener/evitar el ataque. En el tercer trimestre, el 15 % de los clientes de Cloudflare que respondieron nuestra encuesta declararon haber sufrido ataques DDoS HTTP que iban acompañados por una amenaza o una nota de rescate. Esto representa un aumento intertrimestral del 15 % en los ataques DDoS de rescate notificados y del 67 % en comparación con el mismo periodo del año pasado.
Si exploramos el tercer trimestre, podemos constatar una disminución constante en las notificaciones de ataques de rescate desde junio de 2022. No obstante, volvimos a observar un fuerte incremento en septiembre, cuando casi uno de cada cuatro encuestados declaró haber recibido una amenaza o un ataque DDoS de rescate. Septiembre es el mes de 2022 con un mayor número de ataques hasta la fecha.
Cómo calculamos las tendencias de los ataques DDoS de rescate
Nuestros sistemas analizan constantemente el tráfico y aplican soluciones de mitigación de forma automática cuando se detectan ataques DDoS. Cada cliente que ha sufrido un ataque DDoS recibe una encuesta automatizada que nos ayuda a comprender mejor la naturaleza del ataque y el éxito de la mitigación. Durante más de 2 años, hemos formulado las preguntas de esta encuesta a los clientes que han sufrido ataques. Una de ellas es si han recibido una amenaza o nota de rescate exigiendo el pago a cambio de detener el ataque DDoS. Durante el año pasado, de promedio, recopilamos 174 respuestas por trimestre. Estas respuestas se utilizan para calcular el porcentaje de ataques DDoS de rescate.
Ataques DDoS a la capa de aplicación
Los ataques DDoS a la capa de aplicación, en concreto los ataques DDoS HTTP, son ataques que suelen tener como objetivo interrumpir un servidor web evitando que pueda procesar las solicitudes legítimas de los usuarios. Si el servidor se satura con más solicitudes de las que puede procesar, descartará las solicitudes legítimas y, en algunos casos, se bloqueará, lo que degradará el rendimiento o interrumpirá los servicios para los usuarios legítimos.
Tendencias de los ataques DDoS a la capa de aplicación
Si analizamos el gráfico siguiente, podemos ver una clara tendencia que muestra una disminución de aproximadamente el 10 % en los ataques observados cada trimestre desde el primer trimestre de 2022. No obstante, a pesar de la tendencia a la baja, si comparamos el tercer trimestre de 2022 con el tercer trimestre de 2021, aún podemos ver un aumento de los ataques DDoS HTTP del 111 % respecto al año anterior.
Si examinamos los meses del trimestre, los ataques lanzados en septiembre y agosto están distribuidos de forma bastante equitativa, con un 36 % y un 35 %, respectivamente. En julio, el número de ataques fue el más bajo del trimestre (29 %).
Ataques DDoS a la capa de aplicación por sector
Si agrupamos los ataques por el sector operativo de nuestros clientes, podemos ver que las aplicaciones HTTP operadas por empresas de Internet fueron las que recibieron más ataques durante el tercer trimestre. El número de ataques lanzados contra el sector de Internet aumentó un 131 % en términos intertrimestrales y un 300 % en términos interanuales.
El segundo sector más atacado fue el sector de las telecomunicaciones, con un incremento del 93 % respecto al trimestre anterior y del 2317 % (!) en comparación con los mismos meses del año pasado. El tercer lugar lo ocupó el sector de los videojuegos/apuestas, que experimentó un aumento moderado del 17 % respecto al trimestre anterior y del 36 % frente al año pasado.
Ataques DDoS a la capa de aplicación por país de destino
Si agrupamos los ataques por la dirección de facturación de nuestros clientes, podemos conocer qué países recibieron el mayor número de ataques. Las aplicaciones HTTP operadas por empresas ubicadas en EE. UU. fueron las que sufrieron el mayor número de ataques en el tercer trimestre. Los ataques contra sitios web basados en EE. UU. aumentaron un 60 % respecto al trimestre anterior y un 105 % en comparación con los mismos meses de 2021. China ocupó el segundo lugar, tras EE. UU., con un aumento del 332 % frente al trimestre anterior y del 800 % respecto al año pasado.
Si nos centramos en Ucrania, podemos ver que el número de ataques contra sitios web ucranianos aumentó un 67 % frente al trimestre anterior, pero disminuyó un 50 % con respecto a hace un año. Además, el número de ataques contra sitios web rusos se alzó un 31 % en términos intertrimestrales y un 2400 % (!) en comparación con los mismos meses de 2021.
En Asia Oriental, podemos ver que los ataques contra empresas taiwanesas crecieron un 200 % respecto al trimestre anterior y un 60% frente al año pasado, mientras que el número de ataques contra empresas japonesas se incrementó un 105 % respecto al trimestre anterior.
Si analizamos países específicos, podemos identificar las tendencias siguientes, que pueden revelar información interesante acerca de la guerra en Ucrania y de los sucesos geopolíticos en Asia Oriental:
En Ucrania, vemos un cambio inesperado en los sectores que han sufrido ataques. Durante los dos últimos trimestres, las empresas de medios de comunicación en línea, de difusión y edición fueron las que recibieron más ataques en lo que parecía ser un intento de silenciar la información y de que los civiles no tuvieran acceso a ella. Sin embargo, este trimestre, estos sectores ya no aparecen en la lista de los diez sectores principales. En su lugar, el sector de marketing y publicidad ha ocupado la primera posición (40 %), seguido por el de la educación (20 %) y el de la administración pública (8 %).
En Rusia, los ataques al sector de la banca, los servicios financieros y los seguros (BFSI, Banking, Financial Services and Insurance) continúan (25 %). Sin embargo, los ataques al sector BFSI han disminuido un 44 % respecto al trimestre anterior. En segunda posición se encuentra el sector de los servicios de eventos (20 %), seguido por el sector de las criptomonedas (16 %), el de los medios de difusión (13 %) y el del comercio minorista (11 %). Una parte considerable del ataque de tráfico procedía de direcciones IP ubicadas en Alemania, y el resto se distribuía por todo el mundo.
En Taiwán, los dos sectores que recibieron más ataques fueron los medios de comunicación en línea (50 %) e Internet (23 %). La distribución a nivel global de los ataques a estos sectores indica el uso de botnets.
En Japón, los sectores que recibieron más ataques fueron el de Internet y los medios de comunicación (52 %), el de servicios empresariales (12 %) y el de la administración pública (11 %).
Tráfico de los ataques DDoS a la capa de aplicación por país de origen
Antes de analizar las métricas de países de origen específicos, es importante mencionar que, aunque la identificación del país de origen puede ser interesante, no necesariamente indica la ubicación del atacante. Los ataques DDoS a menudo se inician de forma remota, y los atacantes harán todo lo posible para ocultar su ubicación real para intentar evitar ser descubiertos. En todo caso, esta información indica la ubicación de los nodos de la botnet. Dicho esto, correlacionar las direcciones IP de ataque con su ubicación nos permite determinar de dónde procede el ataque de tráfico.
Tras dos trimestres consecutivos, China tomó el relevo de EE. UU. como el origen principal del tráfico de ataque DDoS HTTP. En el tercer trimestre, China fue el principal origen del ataques de tráfico DDoS HTTP. Los ataques de tráfico procedente de direcciones IP registradas en China se incrementaron un 29 % en términos interanuales y un 19 % en términos intertrimestrales. Después de China, la India ocupó la segunda posición de los mayores orígenes de ataques de tráfico DDoS HTTP, con un aumento del 61% respecto a 2021. Tras la India, los orígenes principales fueron EE. UU. y Brasil.
Si nos centramos en Ucrania, podemos constatar que este trimestre ha habido una disminución del tráfico de ataque procedente de direcciones IP ucranianas y rusas, en concreto, del 29 % y del 11 % en comparación con el trimestre anterior, respectivamente. No obstante, si lo comparamos con el mismo trimestre del año pasado, el tráfico de ataque procedente de estos países ha seguido situándose un 47 % y un 18 % por encima, respectivamente.
Otro punto interesante en el informe hace referencia al ataque de tráfico procedente de direcciones IP japonesas, que se disparó un 130 % respecto al año anterior.
Ataques DDoS a la capa de red
Si bien los ataques a la capa de aplicación (capa 7 del modelo OSI) se dirigen contra la aplicación que ejecuta el servicio al que los usuarios finales intentan acceder (HTTP/S en nuestro caso), los ataques a la capa de red pretenden saturar la infraestructura de la red (como enrutadores y servidores en línea) y la propia conexión de Internet.
Tendencias de los ataques DDoS a la capa de red
En el tercer trimestre, observamos un importante aumento de los ataques DDoS a las capas 3/4, en concreto, del 97 % respecto al año pasado y del 24 % frente al trimestre anterior. Además, si observamos el gráfico, podemos ver una clara tendencia al alza de los ataques durante los últimos tres trimestres.
Si analizamos más el trimestre, es evidente que los ataques, en su mayor parte, se han distribuido de manera bastante uniforme durante todo el periodo objeto de estudio, con un porcentaje algo mayor en julio.
Ataques DDoS a la capa de red por sector
El sector de videojuegos/apuestas fue el más afectado por los ataques DDoS a las capas 3/4 durante el tercer trimestre. Casi uno de cada cinco bytes que Cloudflare absorbió para las redes de videojuegos/apuestas formaba parte de un ataque DDoS. Esto representa un impresionante aumento del 381 % respecto al trimestre anterior.
El segundo sector más afectado fue el de las telecomunicaciones, donde casi el 6 % de los bytes destinados a las redes de telecomunicaciones formaba parte de ataques DDoS. Esto representa una disminución del 58 % respecto al trimestre anterior, donde el sector de las telecomunicaciones fue el que recibió más ataques DDoS a las capas 3/4.
A continuación se encuentra el sector de servicios y tecnologías de la información, seguido del de software. Ambos vieron un crecimiento intertrimestral considerable de los ataques, en concreto del 89 % y del 150 %, respectivamente.
Ataques DDoS en la capa de red por país de destino
En el tercer trimestre, las empresas ubicadas en Singapur recibieron el mayor número de ataques DDoS a las capas 3/4. Más del 15 % de todos los bytes dirigidos a sus redes estaban asociados con un ataque DDoS. Esto representa un drástico incremento del 1175 % en comparación con los tres meses anteriores.
En segundo lugar se encuentra EE. UU., tras una disminución del 45 % del ataque de tráfico dirigido a redes de EE. UU. respecto al trimestre anterior. China ocupó la tercera posición, con un aumento del 62 % respecto al trimestre anterior. El número de ataques a empresas taiwanesas también aumentó un 200 % en comparación con el trimestre anterior.
Ataques DDoS a la capa de red por país de ingreso
En el tercer trimestre, los centros de datos de Cloudflare en Azerbaiyán observaron el mayor porcentaje de ataque de tráfico. Más de una tercera parte de todos los paquetes absorbidos formaban parte de un ataque DDoS a las capas 3/4. Esto representa un alza del 44 % respecto al trimestre anterior, y 59 veces la cifra del mismo periodo del año pasado.
De la misma forma, nuestros centros de datos en Túnez observaron un drástico aumento de los paquetes de ataque, 173 veces la cifra del año pasado. Zimbabwe y Alemania también observaron aumentos importantes de los ataques.
Si analizamos Asia Oriental, podemos constatar que nuestros centros de datos en Taiwán vieron un aumento de los ataques del 207 % respecto al trimestre anterior y del 1989 % frente al mismo periodo de 2021. Hemos observado cifras similares en Japón, donde el número de ataques se incrementó un 278 % en comparación con el trimestre anterior y un 1921 % respecto a los mismos meses del año pasado.
Si nos centramos en Ucrania, realmente constatamos una disminución de los paquetes de ataque que observamos en nuestros centros de datos de Ucrania y Rusia, 49 % y 16 % respecto al trimestre anterior, respectivamente.
Vectores de ataque y amenazas emergentes
Un vector de ataque es el método utilizado para lanzar el ataque o el método de intentar lograr la denegación de servicio. Con una cuota combinada del 71 %, las inundaciones SYN y los ataques DNS continuaron siendo los vectores de ataque DDoS más habituales en el tercer trimestre.
El último trimestre, observamos un resurgimiento de los ataques que explotan el protocolo CHARGEN, el protocolo de descubrimiento de Ubiquiti y los ataques por reflexión Memcached. Mientras que el crecimiento de los ataques DDoS Memcached también creció ligeramente (48 %), este trimestre ha habido un aumento más drástico de los ataques que explotan el protocolo BitTorrent (1221 %), así como de los ataques lanzados por la botnet Mirai y sus variantes.
El número de ataques DDoS a BitTorrent aumentó en un 1221 % respecto al trimestre anterior
El protocolo BitTorrent es un protocolo de comunicación que se utiliza para el uso compartido de archivos entre pares. Para ayudar a los clientes de BitTorrent a encontrar y descargar los archivos de forma eficiente, estos pueden utilizar los trackers de BitTorrent o las tablas de hash distribuidas (DHT) para identificar los pares que están propagando el archivo que desean. Es posible explotar este concepto para lanzar ataques DDoS. Un ciberdelincuente puede suplantar la dirección IP de la víctima para que parezca una dirección IP de propagador en los sistemas de trackers y DHT. Los clientes pueden entonces solicitar el archivo que buscan a estas IP. Si hay un número suficiente de clientes que solicitan el archivo, la víctima se puede ver inundada con más tráfico del que puede asumir.
El número de ataques DDoS de Mirai aumentó un 405 % en comparación con el trimestre anterior
Mirai es un malware que infecta a dispositivos inteligentes que funcionan con procesadores ARC, convirtiéndolos en una botnet que se puede utilizar para lanzar ataques DDoS. Este procesador ejecuta una versión simplificada del sistema operativo Linux. Si no se cambia la combinación de nombre de usuario y contraseña por defecto, Mirai puede iniciar sesión en el dispositivo, infectarlo y tomar el control. El operador de la botnet puede indicar a esta que lance una avalancha de paquetes UDP a la dirección IP de la víctima para bombardearlos.
Ataques DDoS a la capa de red por velocidad y duración de los ataques
Aunque los ataques de terabits son cada vez más frecuentes, aún son atípicos. La mayoría de los ataques son muy pequeños (en términos de la escala de Cloudflare). Más del 95 % de los ataques tenían una velocidad máxima inferior a 50 000 paquetes por segundo (pps), y más del 97 % inferior a 500 megabits por segundo (Mb/s). Llamamos a estos ataques "cibervandalismo".
¿Qué es el cibervandalismo? A diferencia del vandalismo "clásico", cuya finalidad es causar la destrucción o el daño intencional a propiedades físicas públicas o privadas, como un graffiti en la pared de un edificio, en el entorno cibernético el cibervandalismo es el acto de causar daño intencional a propiedades de Internet.
Hoy, el código fuente de distintas botnets está disponible en línea y existen diversas herramientas gratuitas que se pueden utilizar para lanzar una avalancha de paquetes. Cuando estas herramientas se dirigen a propiedades de Internet, cualquier script kiddie (hacker aficionado inconsciente de sus actos) puede utilizarlas para lanzar ataques contra su escuela durante la temporada de exámenes o contra cualquier otro sitio web que quiera poner fuera de línea o cuyo funcionamiento desee alterar. Este enfoque se contrapone al del crimen organizado, los actores de amenazas persistentes avanzadas y los hackers respaldados por los estados que pueden lanzar ataques mucho mayores y sofisticados.
De la misma forma, la mayoría de los ataques son mucho más breves y no duran más de 20 minutos (94 %). Este trimestre hemos visto un aumento del 9 % de los ataques de entre 1 y 3 horas, y del 3 % de los ataques de más de 3 horas, pero estos siguen siendo la excepción.
Incluso en el caso de los mayores ataques, como por ejemplo el ataque de 2,5 Tb/s que mitigamos este trimestre, y el ataque de 26 millones de solicitudes por segundo que mitigamos este verano, el pico de los ataques fue breve. El ataque de 2,5 Tb/s duró en total unos 2 minutos, y el pico del ataque de 26 millones de rps solo 15 segundos. Esto enfatiza la necesidad de disponer de soluciones automatizadas y permanentemente activas. Los equipos de seguridad no pueden responder con la rapidez suficiente, ya que, con estas cifras, cuando el ingeniero de seguridad consulta la notificación de PagerDuty en su teléfono, el ataque ya ha finalizado.
Resumen
Los ataques los pueden iniciar personas, pero también los pueden ejecutar bots y, para ganar, para combatir los bots debes usar bots. La detección y la mitigación deben estar tan automatizadas como sea posible, porque confiar exclusivamente en las personas pone a los defensores en desventaja. Los sistemas automatizados de Cloudflare detectan y mitigan automáticamente los ataques DDoS para nuestros clientes, para que ellos no tengan que hacerlo.
Con los años, lanzar ataques DDoS cada vez es más sencillo, económico y accesible para los hackers y "hackers de alquiler". Sin embargo, a pesar de la simplificación del proceso para los ciberdelincuentes, queremos asegurarnos de que sea incluso más fácil, y gratuito, para los defensores de las organizaciones de cualquier tamaño protegerse contra los ataques DDoS de todo tipo. Hemos proporcionado protección contra DDoS ilimitada y sin coste relativo al uso de forma gratuita a todos nuestros clientes desde 2017, cuando lanzamos el concepto. La misión de Cloudflare es ayudar a mejorar Internet para que sea más seguro, más rápido y fiable para todos, incluso ante los ataques DDoS.