Este fin de semana se han producido ataques DDoS sin precedentes. Durante el fin de semana, Cloudflare ha detectado y mitigado docenas de ataques DDoS hipervolumétricos. La mayoría de los ataques alcanzaron entre 50 y 70 millones de solicitudes por segundo, y el mayor de ellos fue de más de 71 millones de solicitudes por segundo. Este es el mayor ataque DDoS HTTP registrado, con un volumen más del 35 % superior al del ataque anteriormente registrado de 46 millones de solicitudes por segundo que tuvo lugar en junio de 2022.
El objetivo de los ataques fueron sitios web específicos y HTTP/2 protegidos por Cloudflare. Su origen fueron más de 30 000 direcciones IP. Entre los sitios web atacados, un conocido proveedor de videojuegos, empresas de criptomonedas, proveedores de alojamiento y plataformas de informática en la nube. Los ataques se originaron en numerosos proveedores de nube, y hemos estado trabajando con ellos para acabar con la botnet.
Durante el último año, hemos observado más ataques cuyo origen se encuentra en proveedores de informática en la nube. Por este motivo, proporcionaremos a los proveedores de servicios que sean propietarios de su propio sistema autónomo una fuente gratuita sobre las amenazas de botnets. Esta les proporcionará información sobre amenazas acerca de su propio espacio de direcciones IP y de los ataques originados desde su propio sistema autónomo. Los proveedores de servicios que operan su propio espacio de direcciones IP ahora pueden registrarse en la lista de espera para obtener acceso anticipado.
¿Tiene esto relación con la Super Bowl o Killnet?
No. Esta campaña de ataques llega menos de dos semanas después de la campaña de ataques DDoS Killnet lanzada contra sitios del sector sanitario. Basándonos en los métodos y los objetivos seleccionados, estamos convencidos de que estos ataques recientes no están relacionados con la campaña contra el sector sanitario. Además, ayer se celebró la Super Bowl en Estados Unidos, y tampoco creemos que esta campaña de ataques esté relacionada con este evento deportivo.
¿Qué son los ataques DDoS?
Los ataques de denegación de servicio distribuido son ciberataques cuyo objetivo es dejar inoperativas las propiedades de Internet y que dejen de estar disponibles para los usuarios. Estos tipos de ciberataques pueden ser muy eficaces contra sitios web desprotegidos, y pueden resultar muy baratos para los ciberdelincuentes.
Un ataque DDoS HTTP normalmente implica una avalancha de solicitudes HTTP dirigidas al sitio web atacado. El objetivo del atacante es bombardear el sitio web con más solicitudes de las que este pueda gestionar. Si la cantidad de solicitudes es suficientemente alta, el servidor del sitio web no podrá procesar todas las solicitudes del ataque junto con las solicitudes de los usuarios legítimos. Las consecuencias para los usuarios serán retardos de carga del sitio web, tiempos de espera y, en última instancia, la imposibilidad de conectarse al sitio web.
Para aumentar el tamaño y la complejidad de los ataques, los ciberdelincuentes suelen utilizar una red de bots, es decir, una botnet. El atacante orquestará la botnet para bombardear los sitios web de la víctima con solicitudes HTTP. Como ya hemos observado en este caso, una botnet suficientemente grande y potente puede generar ataques muy grandes.
Sin embargo, para desarrollar y operar botnets se requiere mucha inversión y experiencia. ¿Qué haría el ciberdelincuente típico? Un ciberdelincuente típico que desea lanzar un ataque DDoS contra un sitio web no necesita empezar desde cero. Puede realizar el encargo a una de las numerosas plataformas de DDoS como servicio por tan solo 30 USD al mes. Cuanto más pagues, mayor será el volumen y la duración del ataque que obtendrás.
¿Por qué ataques DDoS?
Con los años, a los atacantes y a los ciberdelincuentes a sueldo les ha resultado más fácil, barato y accesible lanzar ataques DDoS. Sin embargo, a pesar de lo fácil que ahora les resulta a los atacantes, queremos asegurarnos de que es aún más fácil, y gratuito, para los defensores de las organizaciones de cualquier tamaño protegerse contra los ataques DDoS de cualquier tipo.
A diferencia de los ataques de ransomware, los ataques DDoS de rescate no requieren realmente introducirse en un sistema o posicionarse en la red atacada. Normalmente, los ataques de ransomware se inician cuando un empleado hace clic ingenuamente en un enlace de correo electrónico que instala y propaga el malware. Esto no es necesario en los ataques DDoS, que se asemejan más a un ataque relámpago. Lo único que necesita saber un atacante DDoS es la dirección IP o la dirección del sitio web.
¿Han aumentado los ataques DDoS?
Sí. El tamaño, la sofisticación y la frecuencia de los ataques han ido en aumento durante los últimos meses. En nuestro último informe sobre las amenazas DDoS, observamos que el número de ataques DDoS HTTP se ha incrementado en un 79 % respecto al año anterior. Además, la cantidad de ataques volumétricos que han superado los 100 Gb/s ha crecido en un 67 % respecto al trimestre anterior, y la cifra de ataques con una duración de más de tres horas ha crecido en un 87 % en el mismo periodo.
Sin embargo, aún hay más. La audacia de los atacantes también ha ido al alza. En nuestro último informe sobre las amenazas DDoS, observamos que los ataques DDoS de rescate aumentaron de forma constante durante todo el año. Alcanzaron su número máximo en noviembre de 2022, donde uno de cada cuatro encuestados declaró haber sido objeto de amenazas o de ataques DDoS de rescate.
¿Deberían preocuparme los ataques DDoS?
Sí. Si tu sitio web, tu servidor o tus redes no están protegidos contra los ataques DDoS volumétricos mediante un servicio de nube que proporcione detección y mitigación automáticas, te recomendamos encarecidamente que consideres esta opción.
Los clientes de Cloudflare no deberían preocuparse, pero deberían ser conscientes de la situación y estar preparados. A continuación proporcionamos una lista de las medidas recomendadas para garantizar la optimización de tu postura de seguridad.
¿Qué medidas debo adoptar para estar protegido contra los ataques DDoS?
Los sistemas de Cloudflare han estado detectando y mitigando automáticamente estos ataques DDoS.
Cloudflare ofrece muchas funciones y características a las que es posible que ya tengas acceso pero que aún no utilices. Así que, como medida de protección adicional, te recomendamos que aproveches estas características para mejorar y optimizar tu postura de seguridad:
- Asegúrate de que todas las reglas administradas de DDoS se hayan establecido en los ajustes predeterminados (nivel de alta sensibilidad y acciones de mitigación) para una activación contra DDoS óptima.
- Los clientes Enterprise de Cloudflare suscritos al servicio de protección de DDoS avanzada deberían considerar activar la protección flexible contra DDoS, que mitiga los ataques de forma más inteligente según tus patrones de tráfico únicos.
- Implementa reglas de firewall y reglas de limitación de velocidad para aplicar un modelo combinado de seguridad positiva y seguridad negativa. Reduce el tráfico que se permite a tu sitio web según tu uso conocido.
- Asegúrate de que tu origen no está expuesto a la red pública (es decir, permite solo el acceso a las direcciones IP de Cloudflare). Como precaución de seguridad adicional, si en el pasado tus direcciones IP de servidor de origen han sufrido ataques directos, te recomendamos que te pongas en contacto con tu proveedor de alojamiento y que solicites nuevas direcciones.
- Los clientes con acceso a las listas de direcciones IP administradas deberían considerar la opción de utilizarlas en las reglas de firewall. De la misma forma, los clientes con gestión de bots deberían considerar la opción de utilizar las puntuaciones de bots en estas mismas reglas.
- Activa el almacenamiento en caché tanto como sea posible para reducir la sobrecarga de tus servidores de origen. Asimismo, cuando utilices Workers, evita sobrecargar tu servidor de origen con más subconsultas de las necesarias.
- Activa las alertas DDoS para mejorar tu tiempo de respuesta.
Prepararse para la siguiente ola de ataques DDoS
Protegerse de los ataques DDoS es fundamental para todas las organizaciones, independientemente de su tamaño. Los ataques los pueden iniciar personas, pero también los pueden ejecutar bots y, para ganar, para combatir los bots debes usar bots. La detección y la mitigación deben estar tan automatizadas como sea posible, porque confiar exclusivamente en las personas para la mitigación en tiempo real pone a los defensores en desventaja. Los sistemas automatizados de Cloudflare detectan y mitigan siempre los ataques DDoS para nuestros clientes, para que ellos no tengan que hacerlo. Este enfoque automatizado, combinado con nuestro gran abanico de funciones de seguridad, permite a nuestros clientes personalizar la protección según sus necesidades.
Hemos estado proporcionando protección contra DDoS ilimitada y gratuita a todos nuestros clientes desde 2017, cuando fuimos pioneros en este concepto. La misión de Cloudflare es ayudar a mejorar Internet, y eso significa garantizar una red de Internet más rápida, fiable, segura para todos, incluso ante ataques DDoS.