DDoS Attack Trends for 2022 Q1

Te damos la bienvenida a nuestro primer informe sobre las tendencias de ataques DDoS de 2022, y el noveno que hemos publicado hasta ahora. Este informe incluye nuevos datos y perspectivas tanto en las secciones relativas a la capa de aplicación como de red, de acuerdo con la información recabada por la red global de Cloudflare entre enero y marzo de 2022.

En el primer trimestre de 2022, se observó un aumento masivo de ataques DDoS a la capa de aplicación, pero un descenso en el número total de ataques DDoS a la capa de red. A pesar de esta disminución, los ataques DDoS volumétricos se dispararon un 645 % respecto al trimestre anterior, y mitigamos un nuevo ataque de reflexión de día cero con un factor de amplificación de 220 000 millones por ciento.

En el ciberespacio ruso y ucraniano, los sectores peor parados fueron los medios de comunicación en línea y los medios de radiodifusión. En nuestros centros de datos de Azerbaiyán y Palestina, observamos grandes picos de actividad DDoS, lo que indica la presencia de botnets que operan desde dentro de sus territorios.

Aspectos destacados

Ciberespacio ruso y ucraniano

  • Los medios en línea nacionales fueron el sector más afectado en Rusia en el primer trimestre, seguidos de Internet, las criptomonedas y, por último, el comercio minorista. Si bien muchos de los ataques contra empresas rusas de criptomonedas se originaron en Ucrania o en los Estados Unidos, otro origen importante fue la propia Rusia.
  • La mayoría de los ataques DDoS HTTP dirigidos a empresas rusas procedieron de Alemania, Estados Unidos, Singapur, Finlandia, India, Países Bajos y Ucrania. Es importante tener en cuenta que la capacidad de identificar dónde se origina el tráfico de los ciberataques no es lo mismo que la capacidad de detectar dónde se encuentra el atacante.
  • Los ataques a Ucrania se dirigieron contra los sitios web de los medios de radiodifusión y del sector editorial. Según parece, se distribuyeron y originaron en más países, lo que puede indicar el uso de botnets globales. Aun así, la mayor parte del tráfico de los ataques se originó en Estados Unidos, Rusia, Alemania, China, Reino Unido y Tailandia.

Más información sobre las medidas de Cloudflare para mantener el flujo de Internet abierto en Rusia y evitar que los ataques se propaguen fuera del país.

Ataques DDoS de rescate

  • En enero de 2022, más del 17 % de los encuestados que fueron blanco de ataques DDoS informaron haber sido víctimas de ataques DDoS de rescate o haber recibido una amenaza previamente.
  • Esa cifra se redujo hasta el 6 % en febrero y hasta el 3 % en marzo.
  • Cuando se compara con los trimestres anteriores, observamos que en total, en el primer trimestre, solo el 10 % de los encuestados informaron de un ataque DDoS de rescate, una disminución del 28 % interanual y del 52% intertrimestral.

Ataques DDoS a la capa de aplicación

  • El primer trimestre del año fue el más activo en cuanto a ataques a la capa de aplicación de los últimos 12 meses. Los ataques DDoS HTTP se incrementaron un 164 % interanual y un 135 % intertrimestral.
  • Más avanzado el trimestre, en marzo de 2022, se produjeron más ataques DDoS HTTP que en todo el cuarto trimestre (así como en el tercer y el primer trimestre del año pasado).
  • Después de cuatro trimestres consecutivos en los que China fue la principal fuente de procedencia de ataques DDoS HTTP, Estados Unidos ocupó el primer lugar en el primer trimestre de este año. Los ataques DDoS HTTP originados en Estados Unidos aumentaron un asombroso 6 777 % respecto al trimestre anterior y un 2 225 % en comparación con el mismo periodo del año pasado.

Ataques DDoS a la capa de red

  • Los ataques a la capa de red aumentaron un 71 % interanual en el primer trimestre, pero disminuyeron un 58 % en términos intertrimestrales.
  • El sector de las telecomunicaciones fue el más afectado por los ataques DDoS a la capa de red, seguido por las empresas de videojuegos, apuestas, y los sectores de la tecnología de la información y servicios.
  • Los ataques volumétricos aumentaron en el primer trimestre. Los ataques de más de 10 Mp/s (millones de paquetes por segundo) crecieron más de un 300 % con respecto al trimestre anterior, y los ataques de más de 100 GB/s lo hicieron un 645 % en la misma comparación.

Este informe contempla los ataques DDoS que los sistemas de protección contra DDoS de Cloudflare detectaron y mitigaron de manera automática. Para obtener más información sobre su funcionamiento, consulta esta publicación detallada del blog.

Nota sobre cómo medimos los ataques DDoS observados en nuestra red

Para analizar las tendencias de los ataques, calculamos la tasa de la "actividad DDoS", que es el porcentaje de tráfico de ataque sobre el tráfico total (ataque + legítimo) observado en nuestra red global, o en una ubicación específica o categoría determinada (por ejemplo, sector o país de facturación). Medir los porcentajes nos permite normalizar los datos y evitar los sesgos reflejados en las cifras absolutas hacia, por ejemplo, un centro de datos de Cloudflare que recibe más tráfico total y, probablemente, también más ataques.

Ataques de rescate

Nuestros sistemas analizan constantemente el tráfico y aplican soluciones de mitigación de forma automática cuando se detectan ataques DDoS. Cada cliente que es blanco de un ataque DDoS recibe una encuesta automatizada que nos ayuda a comprender mejor la naturaleza del ataque y el éxito de la mitigación.

Desde hace más de dos años, Cloudflare ha encuestado a clientes que han sido víctimas de ataques. Una de las preguntas de la encuesta es si han recibido una amenaza o una nota de rescate exigiendo un pago a cambio de detener el ataque DDoS. En el último trimestre de 2021, observamos un nivel de ataques DDoS de rescate sin precedentes (uno de cada cinco clientes). Este trimestre, hemos sido testigos de un descenso en este tipo de ofensivas, ya que solo uno de cada 10 encuestados informaron haber sido víctimas de un ataque DDoS de rescate, un descenso del 28 % interanual y del 52 % intertrimestral.

The percentage of respondents reported being targeted by a ransom DDoS attack or that have received threats in advance of the attack.
Gráfico de ataques DDoS de rescate por trimestre

Porcentaje de encuestados que informaron haber sido blanco de un ataque DDoS de rescate o haber recibido amenazas antes del ataque.

Si lo desglosamos por meses, observamos que enero de 2022 concentró un mayor número de encuestados que informaron haber recibido una nota de rescate en el primer trimestre, es decir, casi uno de cada cinco clientes (17 %).

Graph of ransom DDoS attacks by month
Gráfico de ataques DDoS de rescate por mes

Ataques DDoS a la capa de aplicación

Los ataques DDoS a la capa de aplicación, en concreto los ataques DDoS HTTP, son ofensivas que suelen tener como objetivo interrumpir un servidor web evitando que pueda procesar las solicitudes legítimas de los usuarios. Si el servidor se satura con más solicitudes de las que puede procesar, el servidor descartará las solicitudes legítimas y, en algunos casos, se bloqueará, lo que degradará el rendimiento o interrumpirá los servicios para los usuarios legítimos.

A diagram of a DDoS attack denying service to legitimate users
Diagrama de un ataque DDoS que niega el servicio a los usuarios legítimos

Ataques DDoS a la capa de aplicación por mes

En el primer trimestre, los ataques DDoS a la capa de aplicación se dispararon un 164 % en términos interanuales y un 135 % en términos intertrimestrales, convirtiéndose así en el trimestre más activo del año pasado.

Los ataques DDoS a la capa de aplicación aumentaron hasta alcanzar un nuevo récord en el primer trimestre de 2022. Solo en marzo, se produjeron más ataques DDoS HTTP que en todo el cuarto trimestre de 2021 (así como en el tercer y el primer trimestre).

Graph of the yearly distribution of application-layer DDoS attacks by month in the past 12 months
Gráfico de la distribución anual de los ataques DDoS a la capa de aplicación por mes en los últimos 12 meses


Graph of the quarterly distribution of application-layer DDoS attacks by month in the past 12 months
Gráfico de la distribución trimestral de los ataques DDoS a la capa de aplicación por mes en los últimos 12 meses

Ataques DDoS a la capa de aplicación por sector

La electrónica de consumo fue el sector más afectado en el primer trimestre.

A nivel mundial, la electrónica de consumo recibió el mayor número de ataques. En concreto, las ofensivas contra este sector aumentaron un 5 086 % en comparación con el trimestre anterior. El segundo lugar lo ocupó el sector de los medios en línea, donde los ataques se incrementaron un 2 131 % en términos intertrimestrales. En tercer lugar, se encuentran las empresas de software informático, con ataques que aumentaron un 76 % intertrimestral y un 1 472 % en comparación con el mismo periodo del año pasado.

Graph of the distribution of HTTP DDoS attacks by industry in 2022 Q1
Gráfico de la distribución de los ataques DDoS HTTP por sector en el primer trimestre de 2022

Sin embargo, si nos centramos solo en Ucrania y Rusia, podemos observar que los medios de difusión, las empresas de medios en línea y las empresas de Internet fueron las más afectadas. Más información sobre las medidas de Cloudflare para mantener el flujo de Internet abierto en Rusia y evitar que se propaguen los ataques fuera del país.

Graph of the distribution of HTTP DDoS attacks on Russian industries by source country in 2022 Q1
Gráfico de la distribución de los ataques DDoS HTTP sobre los sectores rusos por país de origen en el primer trimestre de 2022
Graph of the distribution of HTTP DDoS attacks on Ukrainian industries by source country in 2022 Q1
Gráfico de la distribución de los ataques DDoS HTTP sobre los sectores ucranianos por país de origen en el primer trimestre de 2022

Ataques DDoS a la capa de aplicación por país de origen

Para entender el origen de los ataques HTTP, analizamos la geolocalización de la dirección IP de origen perteneciente al cliente que generó las solicitudes HTTP de ataque. A diferencia de los ataques a la capa de red, las direcciones IP de origen no se pueden suplantar en los ataques HTTP. Un alto porcentaje de actividad DDoS en un país determinado suele indicar la presencia de botnets que operan dentro de su propio país.

Después de cuatro trimestres consecutivos en los que China fue la principal fuente de procedencia de ataques DDoS HTTP, Estados Unidos ocupó el primer lugar en el primer trimestre de este año. Los ataques DDoS HTTP originados en Estados Unidos aumentaron un asombroso 6 777 % respecto al trimestre anterior y un 2 225 % en comparación con el mismo periodo del año pasado. China ocupó el segundo lugar, seguido de India, Alemania, Brasil y Ucrania.

Graph of the distribution of HTTP DDoS attacks by source country in 2022 Q1
Gráfico de la distribución de los ataques DDoS HTTP por país de origen en el primer trimestre de 2022

Ataques DDoS a la capa de aplicación por país de destino

Para identificar qué países son el objetivo de la mayoría de los ataques DDoS HTTP, agrupamos los ataques DDoS por el país de facturación de nuestros clientes y lo representamos como un porcentaje de todos los ataques DDoS.

Estados Unidos desciende al segundo puesto, tras ocupar la primera posición durante tres trimestres consecutivos. Las organizaciones de China fueron las más afectadas por los ataques DDoS HTTP, seguidas por las de Estados Unidos, Rusia y Chipre.

Graph of the distribution of HTTP DDoS attacks by target country in 2022 Q1
Gráfico de la distribución de los ataques DDoS HTTP por país de destino en el primer trimestre de 2022

Ataques DDoS a la capa de red

Si bien los ataques a la capa de aplicación (capa 7 del modelo OSI) se dirigen contra la aplicación que ejecuta el servicio al que los usuarios finales intentan acceder (HTTP/S en nuestro caso), los ataques a la capa de red pretenden saturar la infraestructura de la red (como enrutadores y servidores en línea) y la propia conexión de Internet.

Ataques DDoS a la capa de red por mes

Mientras que los ataques DDoS HTTP se dispararon en el primer trimestre, los ataques DDoS a la capa de red disminuyeron un 58 % en términos intertrimestrales, aunque aumentaron un 71 % en términos interanuales.

Conforme avanza el primer trimestre, podemos observar que el número de ataques DDoS a la capa de red se mantuvo prácticamente estable durante todo el trimestre. Cada mes concentró aproximadamente un tercio de los ataques.

Graph of the yearly distribution of network-layer DDoS attacks by month in the past 12 months]
Gráfico de la distribución anual de los ataques DDoS a la capa de aplicación por mes en los últimos 12 meses

Graph of the quarterly distribution of network-layer DDoS attacks by month in the past 12 months
Gráfico de la distribución trimestral de los ataques DDoS a la capa de red por mes en los últimos 12 meses

Graph of the distribution of network-layer DDoS attacks in the past 12 months
Gráfico de la distribución de los ataques DDoS a la capa de red en los últimos 12 meses

Cloudflare mitiga ataques DDoS de amplificación de día cero

Entre estos ataques DDoS a la capa de red también se encuentran los ataques DDoS de día cero que Cloudflare detectó y mitigó automáticamente.

A principios de marzo, los investigadores de Cloudflare ayudaron a inspeccionar y sacar a la luz una vulnerabilidad de día cero en los sistemas de telefonía empresarial de Mitel que, entre otras posibles explotaciones, también permite a los atacantes lanzar ataques DDoS de amplificación. Este tipo de ataques refleja el tráfico de los servidores vulnerables de Mitel hacia las víctimas, amplificando la cantidad de tráfico enviada en el proceso por un factor de amplificación de 220 000 millones por ciento en este caso específico. Para más información, consulta nuestra reciente publicación del blog.

Hemos observado varios de estos ataques en nuestra red. Uno de ellos tenía como objetivo un proveedor de nube norteamericano que utilizaba el servicio Cloudflare Magic Transit. El ataque se originó desde 100 direcciones IP de origen, principalmente de Estados Unidos, Reino Unido, Canadá, Países Bajos, Australia y aproximadamente otros 20 países. Alcanzó un máximo de 50 Mp/s (aproximadamente 22 GB/s) y nuestros sistemas lo detectaron y mitigaron de forma automática.

Graph of an amplification DDoS attack that was mitigated by Cloudflare
Gráfico de un ataque DDoS de amplificación que Cloudflare mitigó

Ataques DDoS en la capa de red por sector

Muchos ataques DDoS a la capa de red se dirigen directamente a los rangos de IP de Cloudflare. Estos rangos de IP atienden a los clientes de nuestras soluciones WAF y CDN, DNS autoritativo, solucionador DNS público 1.1.1.1, Cloudflare Zero Trust, y nuestras oficinas corporativas, entre otras. Además, también asignamos direcciones IP dedicadas a los clientes a través de nuestro producto Spectrum, y anunciamos los prefijos IP de otras empresas a través de nuestros productos Magic Transit, Magic WAN y Magic Firewall que protegen las capas 3 y 4 contra ataques DDoS.

En este informe, por primera vez, hemos empezado a clasificar los ataques DDoS a la capa de red según los sectores de los clientes que utilizan nuestros productos Spectrum y Magic. Esta clasificación nos permite comprender qué sectores son los más afectados por los ataques DDoS a la capa de red.

Si observamos las estadísticas del primer trimestre, podemos ver que, en términos de paquetes y bytes de ataque lanzados hacia los clientes de Cloudflare, el sector de las telecomunicaciones fue el blanco principal. Más del 8 % de todos los bytes de ataque y el 10 % de todos los paquetes de ataque que Cloudflare mitigó se dirigieron a empresas de telecomunicaciones.  

Le siguieron de cerca los sectores de los videojuegos / apuestas, tecnología de la información y servicios, que ocuparon el segundo y tercer lugar, respectivamente.

Graph of the distribution of network-layer DDoS attack bytes by industry
Gráfico de la distribución de bytes y paquetes de ataques DDoS a la capa de red por sector
Graph of the distribution of network-layer DDoS attack packets by industry
Gráfico de la distribución de bytes y paquetes de ataques DDoS a la capa de red por sector

Ataques DDoS en la capa de red por país de destino

De forma similar a la clasificación por sectores de nuestros clientes, también podemos agrupar los ataques por país de facturación de nuestros clientes, tal y como hacemos con los ataques DDoS a la capa de aplicación, para identificar los principales países atacados.

Si observamos las cifras del primer trimestre, Estados Unidos fue el objetivo del mayor porcentaje de tráfico de ataque DDoS, ya que recibió más del 10 % de todos los paquetes de ataque y casi el 8 % de todos los bytes de ataque. Le siguió China, Canadá y Singapur.

Graph of the distribution of network-layer DDoS attack bytes by target country
Gráfico de la distribución de bytes y paquetes de ataque DDoS a la capa de red por país de destino

Graph of the distribution of network-layer DDoS attack packets by target country
Gráfico de la distribución de bytes y paquetes de ataque DDoS a la capa de red por país de destino

Ataques DDoS a la capa de red por país de entrada

Para entender dónde se originan los ataques DDoS a la capa de red, no podemos utilizar el mismo método que usamos para el análisis de los ataques a la capa de aplicación. Para lanzar un ataque DDoS contra la capa de aplicación, se debe lograr un protocolo de enlace entre el cliente y el servidor para establecer una conexión HTTP/S. Para que esto ocurra, los ataques no pueden suplantar su dirección IP de origen. Si bien el atacante puede utilizar botnets, proxies y otros métodos para ofuscar su identidad, la ubicación de la dirección IP de origen del cliente atacante representa suficientemente la procedencia de los ataques DDoS a la capa de aplicación.

Por otro lado, para lanzar ataques DDoS a la capa de red, en la mayoría de los casos, no se necesita un protocolo de enlace. Los atacantes pueden suplantar la dirección IP de origen para ofuscar el origen del ataque y aplicar un carácter aleatorio de sus propiedades, lo que puede impedir que sistemas sencillos de protección DDoS bloqueen el ataque. Por lo tanto, si tuviéramos que obtener el país de origen basándonos en una dirección IP de origen suplantada, obtendríamos un "país falso".

Por esta razón, al analizar la procedencia de los ataques DDoS a la capa de red, agrupamos el tráfico por las ubicaciones de los centros de datos perimetrales de Cloudflare en los que se recibió el tráfico, y no por la dirección IP de origen (potencialmente) falsificada, para comprender la procedencia de los ataques. Podemos conseguir precisión geográfica en nuestro informe porque tenemos centros de datos en más de 270 ciudades de todo el mundo. Sin embargo, incluso este método no es 100 % exacto, ya que el tráfico se puede redireccionar y enrutar a través de varios proveedores de servicios de Internet y países por distintas razones, desde la reducción de costes hasta la gestión de la congestión y los fallos.

En el primer trimestre, el porcentaje de ataques detectados en los centros de datos de Cloudflare en Azerbaiyán aumentó un 16 624 % en términos intertrimestrales y un 96 900 % en términos interanuales, convirtiéndose así en el país con el mayor porcentaje de actividad DDoS a la capa de red (48,5 %).

Después de nuestro centro de datos de Azerbaiyán está nuestro centro de datos de Palestina, donde un porcentaje asombroso de todo el tráfico, en concreto un 41,9 %, fue tráfico DDoS. Este volumen representa un aumento del 10 120 % respecto al trimestre anterior y del 46 456% en comparación con el mismo periodo del año pasado.

Graph of the distribution of network-layer DDoS attacks by source country in 2022 Q1
Gráfico de la distribución de los ataques DDoS a la capa de red por país de origen en el primer trimestre de 2022

Map of the distribution of network-layer DDoS attacks by source country in 2022 Q1
Mapa de la distribución de los ataques DDoS a la capa de red por país de origen en el primer trimestre de 2022

Para ver todas las regiones y países, consulta el mapa interactivo.

Vectores de ataque

Los ataques de inundación SYN siguen siendo el vector de ataque DDoS más popular, si bien se observó una reducción significativa en los ataques de inundación UDP genéricos en el primer trimestre.

Un vector de ataque es un término utilizado para describir el método que el atacante utiliza para lanzar su ataque DDoS, es decir, el protocolo IP, los atributos del paquete, tales como las marcas TCP, el método de inundación y otros criterios.

En el primer trimestre, las inundaciones SYN representaron el 57 % de todos los ataques DDoS a la capa de red, lo que supone un aumento del 69 % en términos intertrimestrales y del 13 % en términos interanuales. En segundo lugar, los ataques basados en SSDP se incrementaron más de un 1 100 % en comparación con el mismo trimestre de 2021. Les siguieron los ataques de inundación RST y UDP. El trimestre pasado, las inundaciones UDP genéricas ocuparon el segundo lugar, pero esta vez, los ataques DDoS UDP genéricos se desplomaron un 87 % respecto al trimestre anterior, pasando del 32 % a tan solo un 3,9 %.

Graph of the top network-layer DDoS attack vectors in 2022 Q1
Gráfico de los principales vectores de ataque DDoS a la capa de red en el primer trimestre de 2022

Amenazas emergentes

Identificar los principales vectores de ataque ayuda a las organizaciones a comprender el panorama de las amenazas. A su vez, puede ayudarles a mejorar su postura de seguridad para protegerse contra esas amenazas. Del mismo modo, conocer las nuevas amenazas emergentes que aún no representan una parte significativa de los ataques, puede ayudar a mitigarlas antes de que ejerzan una presión importante.  

Cuando observamos los nuevos vectores de ataque emergentes en el primer trimestre, podemos ver un aumento intertrimestral de los ataques de reflexión DDoS en los servicios de Lantronix (+ 971 %) y de los ataques de reflexión SSDP (+ 724 %). Además, los ataques SYN-ACK aumentaron un 437 % y los ataques de las botnets Mirai lo hicieron un 321 % en la misma comparación.

Ataque de reflexión del tráfico del servicio Lantronix Discovery

Lantronix es una empresa de software y hardware con sede en Estados Unidos que ofrece soluciones para la gestión de Internet de las Cosas (IoT) entre su amplia cartera de productos. Una de las herramientas que ofrece para gestionar sus componentes de IoT es el protocolo de descubrimiento de dispositivos de Lantronix. Es una herramienta de línea de comandos que ayuda a buscar y encontrar dispositivos Lantronix. La herramienta de descubrimiento se basa en UDP, lo que significa que no se requiere un protocolo de enlace. La dirección IP de origen se puede falsificar. Así, un atacante puede utilizar la herramienta para buscar dispositivos Lantronix expuestos públicamente utilizando una solicitud de 4 bytes, que a su vez responderá con una respuesta de 30 bytes desde el puerto 30718. Al falsificar la dirección IP de origen de la víctima, todos los dispositivos Lantronix dirigirán sus respuestas a la víctima, lo que se traducirá en un ataque de reflexión/amplificación.

Protocolo simple de descubrimiento de servicios utilizado para ataques DDoS de reflexión

El protocolo simple de descubrimiento de servicios (SSDP) funciona de forma similar al protocolo de descubrimiento de Lantronix, pero para dispositivos Universal Plug and Play (UPnP), como las impresoras conectadas a la red. El abuso del protocolo SSDP permite a los atacantes lanzar un ataque de reflexión DDoS que sobrecargue la infraestructura del objetivo a fin de desconectar sus propiedades de Internet. Más información de los ataques DDoS basados en SSDP aquí.

Graph of the top emerging network-layer DDoS attack threats in 2022 Q1
Gráfico de las principales amenazas emergentes de ataques DDoS a la capa de red en el primer trimestre de 2022

Ataques DDoS a la capa de red por velocidad de ataque

En el primer trimestre, observamos un aumento masivo de los ataques DDoS volumétricos, tanto desde el punto de vista de la velocidad de paquetes como de la velocidad de bits. Los ataques de más de 10 Mp/s se incrementaron más de un 300 % con respecto al trimestre anterior, y los ataques de más de 100 GB/s lo hicieron un 645 % en la misma comparación.

Hay diferentes formas de medir el tamaño de un ataque DDoS a las capas 3 y 4. Una es el volumen de tráfico que entrega, medido como la velocidad de bits (en concreto, terabits por segundo o gigabits por segundo). Otro es el número de paquetes que entrega, medido como la velocidad de paquetes (en concreto, millones de paquetes por segundo).

Los ataques con una velocidad de bits elevada intentan provocar un evento de denegación de servicio bloqueando la conexión de Internet, mientras que los ataques con alta velocidad de paquetes tratan de saturar los servidores, enrutadores u otros dispositivos de hardware en línea. Estos dispositivos dedican una cierta cantidad de memoria y capacidad de procesamiento para procesar cada paquete. Por lo tanto, si se satura con muchos paquetes, el dispositivo se puede quedar sin recursos de procesamiento. En este caso, los paquetes se "descartan", es decir, el dispositivo no puede procesarlos. Para los usuarios, esto se traduce en interrupciones y denegación del servicio.

Distribución por velocidad de paquete

La mayoría de los ataques DDoS a la capa de red siguen siendo inferiores a 50 000 paquetes por segundo. Si bien 50 000 paquetes está en el extremo inferior de la escala de Cloudflare, esta velocidad puede interrumpir fácilmente propiedades de Internet que no estén protegidas y sobrecargar incluso una conexión Gigabit Ethernet estándar.

Graph of the distribution of network-layer DDoS attacks by packet rate in 2022 Q1
Gráfico de la distribución de los ataques DDoS a la capa de red por velocidad de paquetes en el primer trimestre de 2022

Cuando observamos los cambios en los tamaños de los ataques, podemos ver que los ataques de más de 10 Mp/s aumentaron más de un 300 % en términos intertrimestrales. Del mismo modo, los ataques de 1 a 10 Mp/s crecieron casi un 40 % respecto al trimestre anterior.

Graph of the change in the distribution of network-layer DDoS attacks by packet rate quarter over quarter
Gráfico del cambio intertrimestral en la distribución de los ataques DDoS a la capa de red por velocidad de paquetes

Distribución por velocidad de bits

En el primer trimestre, la mayoría de los ataques DDoS a la capa de red se mantuvieron por debajo de los 500 MB/s, también una velocidad mínima en la escala de Cloudflare, aunque son capaces de interrumpir con mucha rapidez propiedades de Internet que carezcan de protección o tengan menos capacidad o, incluso bloquear una conexión Gigabit Ethernet estándar.

Gráfico de la distribución de los ataques DDoS a la capa de red por velocidad de bits en el primer trimestre de 2022

Al igual que con las tendencias observadas en el ámbito de los paquetes por segundo, aquí también podemos observar aumentos significativos. La cantidad de ataques DDoS con picos superiores a 100 GB/s aumentó un 645 % en términos intertrimestrales. Los ataques con picos entre 10-100 GB/s se alzaron un 407 %, mientras que aquellos con picos entre 1-10 GB/s se incrementaron un 88 %. Incluso los ataques con picos entre 500 MB/s y 1 GB/s crecieron prácticamente un 20 % respecto al trimestre anterior.

Graph of the change in the distribution of network-layer DDoS attacks by bit rate quarter over quarter
Gráfico de la distribución de los ataques DDoS a la capa de red por velocidad de bits en términos intertrimestrales

Ataques DDoS a la capa de red por duración

La mayoría de los ataques siguen teniendo una duración inferior a una hora, lo que reitera la necesidad de implementar soluciones automatizadas de mitigación de DDoS siempre activas.

Medimos la duración de un ataque registrando la diferencia entre el momento en que nuestros sistemas lo detectan como ataque por primera vez, y el último paquete que vemos con esa firma de ataque hacia ese objetivo específico.

En informes anteriores, ofrecimos un desglose de los "ataques de menos de una hora" y de rangos de tiempo más amplios. Sin embargo, en la mayoría de los casos, más del 90 % de los ataques duran menos de una hora. Así que a partir de este informe, desglosamos los ataques breves y los agrupamos por rangos de tiempo más cortos para ofrecer un mayor grado de precisión.

Una cosa importante a tener en cuenta es que aunque un ataque dure solo unos minutos, si logra su objetivo, las repercusiones podrían ser más graves que la duración inicial del ataque. Los equipos informáticos que responden a un ataque que ha logrado su objetivo pueden pasar horas e incluso días restableciendo los servicios.

En el primer trimestre de 2022, más de la mitad de los ataques duraron 10-20 minutos, aproximadamente el 40 % terminó en 10  minutos, otro 5 % duró entre 20-40 minutos, y el resto duró más de 40 minutos.

Graph of the distribution of network-layer DDoS attacks by duration in 2022 Q1
Gráfico de la distribución de los ataques DDoS a la capa de red por duración en el primer trimestre de 2022

Los ataques breves pueden pasar fácilmente desapercibidos, sobre todo, los ataques en ráfaga que, en cuestión de segundos, atacan un objetivo con un número significativo de paquetes, bytes o solicitudes. En este caso, los servicios de protección DDoS que dependen de la mitigación manual mediante análisis de seguridad no tienen ninguna posibilidad de mitigar el ataque a tiempo. Solo pueden analizarlo después del ataque, implementar una nueva regla que filtre la huella digital del ataque y esperar a identificarlo la próxima vez. Del mismo modo, el uso de un servicio "a petición", en el que el equipo responsable de la seguridad redirige el tráfico a un proveedor de DDoS durante el ataque, también es ineficiente porque el ataque ya habrá terminado antes de que el tráfico se dirija al proveedor de soluciones DDoS a la carta.

Se recomienda que las empresas utilicen servicios de protección DDoS automatizados y siempre activos que analicen el tráfico y apliquen una huella digital en tiempo real lo suficientemente rápido como para bloquear ataques de corta duración.

Resumen

La misión de Cloudflare es ayudar a mejorar Internet. Una red más eficiente es aquella que es más segura, rápida y fiable para todos, incluso frente a los ataques DDoS. Como parte de nuestra misión, desde 2017, hemos estado ofreciendo protección DDoS ilimitada y de uso no medido de forma gratuita a todos nuestros clientes. A lo largo de los años, a los atacantes les resulta cada vez más fácil lanzar ataques DDoS. Sin embargo, por muy fácil que se haya vuelto, queremos asegurarnos de que sea aún más sencillo y gratuito para todo tipo de organizaciones protegerse de ataques DDoS de cualquier naturaleza.

¿Todavía no utilizas Cloudflare? Empieza hoy mismo con nuestros planes gratuito y Pro para proteger tus sitios web, o ponte en contacto con nosotros para beneficiarte de una protección DDoS integral para toda tu red utilizando Magic Transit.