4,2 Tb/s de paquetes maliciosos y mucho más: informe sobre los ataques DDoS del tercer trimestre de Cloudflare

Te damos la bienvenida a la 19ª edición del informe sobre amenazas DDoS de Cloudflare. Estos informes, que se publican trimestralmente, ofrecen un análisis detallado del panorama de las amenazas DDoS observado en la red de Cloudflare. Esta edición corresponde al 3.er trimestre de 2024.

Con una red de 296 terabits por segundo (Tb/s) ubicada en más de 330 ciudades de todo el mundo, casi el 20 % de todos los sitios web utilizan Cloudflare como proxy inverso. Cloudflare tiene una posición privilegiada que nos permite proporcionar información muy útil y tendencias a la comunidad de Internet en general.

• El número de ataques DDoS aumentó en el tercer trimestre de 2024. Cloudflare mitigó casi 6 millones de ataques DDoS, lo que representa un aumento del 49 % en términos intertrimestrales y del 55 % en términos interanuales.

• De esos 6 millones, los sistemas autónomos de protección contra DDoS de Cloudflare detectaron y mitigaron más de 200 ataques DDoS hipervolumétricos que superaron los 3 terabits por segundo (Tb/s) y los 2000 millones de paquetes por segundo. El mayor ataque alcanzó un máximo de 4,2 Tb/s y duró solo un minuto.

• El sector de los servicios bancarios y financieros fue el más afectado por los ataques DDoS. China fue el país más afectado por los ataques DDoS, e Indonesia fue la mayor fuente de ataques DDoS.

Para obtener más información sobre los ataques DDoS y otros tipos de ciberamenazas, visita nuestro Centro de aprendizaje, accede a informes anteriores sobre las amenazas DDoS en el blog de Cloudflare o visita nuestro centro interactivo, Cloudflare Radar. También hay una API gratuita para aquellos interesados en investigar estas y otras tendencias de Internet. Asimismo, puedes obtener más información sobre las metodologías utilizadas en la preparación de estos informes.

En la primera mitad de 2024, los sistemas autónomos de protección contra DDoS de Cloudflare detectaron y mitigaron automáticamente 8,5 millones de ataques DDoS: 4,5 millones en el primer trimestre y 4 millones en el segundo. En el tercer trimestre, nuestros sistemas mitigaron casi 6 millones de ataques DDoS, lo que supone un total de 14,5 millones de ataques DDoS en lo que va de año. Esto supone una media de unos 2200 ataques DDoS por hora.

De esos ataques, Cloudflare mitigó más de 200 ataques DDoS hipervolumétricos a la capa de red que superaron 1 Tb/s o 1 millón de paquetes por segundo. Los mayores ataques alcanzaron un máximo de 3,8 Tb/s y 2200 millones de paquetes por segundo. Más información sobre estos ataques y cómo nuestros sistemas de protección contra DDoS los mitigaron de forma autónoma.

^{Distribución de los ataques DDoS hipervolumétricos a lo largo del tiempo}

Mientras escribíamos esta publicación del blog, nuestros sistemas seguían detectando y mitigando estos ataques a gran escala y de nuevo registraron un ataque de un volumen jamás visto hasta la fecha, apenas tres semanas después de nuestra última divulgación. El 21 de octubre de 2024, los sistemas de Cloudflare detectaron y mitigaron de forma autónoma un ataque DDoS de 4,2 Tb/s que duró aproximadamente un minuto.

^{Ataque DDoS de 4,2 Tb/s mitigado de forma autónoma por Cloudflare}

De los 6 millones de ataques DDoS, la mitad de ellos fueron ataques DDoS HTTP (a la capa de aplicación) y la otra mitad fueron ataques DDoS a la capa de red. Los ataques DDoS a la capa de red aumentaron un 51 % respecto al trimestre anterior y un 45 % en comparación con el año anterior, y los ataques DDoS HTTP aumentaron un 61 % de un trimestre a otro y un 68 % de un año a otro.

El 90 % de los ataques DDoS, incluido el mayor de los ataques, fueron de muy corta duración. Sin embargo, observamos un ligero aumento (7 %) en los ataques que duraron más de una hora. Estos ataques más largos representaron el 3 % de todos los ataques.

En el tercer trimestre, observamos una distribución uniforme en el número de ataques DDoS a la capa de red en comparación con los ataques DDoS HTTP. De los ataques DDoS a la capa de red, los ataques de inundación SYN fueron el principal vector de ataque, seguido de los ataques de inundación DNS, los ataques de inundación UDP, los ataques de reflexión SSDP y los ataques de reflexión ICMP.

En la capa de aplicación, el 72 % de los ataques DDoS HTTP fueron lanzados por botnets conocidas y mitigados automáticamente por nuestra heurística patentada. El hecho de que el 72 % de los ataques DDoS se hayan mitigado con nuestra heurística desarrollada internamente demuestra las ventajas de operar una red grande. El volumen de tráfico y de ataques que observamos nos permite diseñar, probar e implementar medidas de protección eficaces contra las botnets.

Otro 13 % de los ataques DDoS HTTP se mitigaron gracias a sus atributos HTTP sospechosos o inusuales, y otro 9 % fueron ataques DDoS HTTP lanzados por navegadores falsos o suplantadores de navegador. El 6 % restante de "Otros" incluye los ataques contra puntos finales de inicio de sesión y ataques de explosión de caché.

Una cosa a tener en cuenta es que estos vectores de ataque, o grupos de ataque, no son necesariamente excluyentes. Por ejemplo, las botnets conocidas también se hacen pasar por navegadores y tienen atributos HTTP sospechosos, pero este desglose es nuestro intento de categorizar los ataques DDoS HTTP de forma significativa.

^{Distribución de los ataques DDoS en el tercer trimestre de 2024}

En el tercer trimestre, observamos un aumento del 4000 % de los ataques de amplificación SSDP en comparación con el trimestre anterior. Un ataque SSDP (Simple Service Discovery Protocol) es un tipo de ataque DDoS de reflexión y amplificación que explota el protocolo UPnP (Universal Plug and Play). Los atacantes envían solicitudes SSDP a dispositivos vulnerables que tienen el protocolo UPnP activado, como enrutadores, impresoras y cámaras con dirección IP, y suplantan la dirección IP de origen para que sea la dirección IP de la víctima. Estos dispositivos responden a la dirección IP de la víctima con grandes cantidades de tráfico, saturando la infraestructura de la víctima. El efecto de amplificación permite a los atacantes generar un enorme volumen de tráfico a partir de solicitudes pequeñas, lo que provoca la desconexión del servicio de la víctima. La desactivación del protocolo UPnP en aquellos dispositivos que no lo necesiten y la utilización de estrategias de mitigación de DDoS te ayudarán a protegerte contra este tipo de ataque.

^{Ilustración de un ataque de amplificación SSDP}

Cuando los ciberdelincuentes lanzan ataques DDoS HTTP, quieren pasar desapercibidos para evitar su detección. Para ello, una táctica es suplantar el agente de usuario. Si lo logran, esto les permite parecer un navegador o cliente legítimo.

En el tercer trimestre, el 80 % del tráfico vinculado a los ataques DDoS HTTP suplantó el navegador Google Chrome, que fue el agente de usuario observado más habitualmente en los ataques. Más concretamente, Chrome 118, 119, 120 y 121 fueron las versiones más comunes.

En segundo lugar, no se detectó ningún agente de usuario en el 9 % del tráfico vinculado a los ataques de tráfico DDoS HTTP.

En tercer y cuarto lugar, observamos ataques que utilizaron los agentes de usuario Go-http-client y fasthttp. El primero es el cliente HTTP predeterminado de la biblioteca estándar de Go y el segundo es una alternativa de alto rendimiento. fasthttp se utiliza para crear aplicaciones web rápidas, pero también se suele utilizar para ataques DDoS y de apropiación web.

^{Principales agentes de usuario utilizados en los ataques DDoS}

El quinto lugar lo ocupa el agente de usuario hackney. Es una biblioteca de cliente HTTP para Erlang. Se utiliza para realizar solicitudes HTTP y es popular en los ecosistemas Erlang/Elixir.

En sexto lugar tenemos un agente de usuario interesante: HITV_ST_PLATFORM. Este agente de usuario parece estar asociado con los televisores inteligentes o los decodificadores. Los ciberdelincuentes suelen evitar el uso de agentes de usuario poco comunes, como demuestra el uso frecuente de los agentes de usuario de Chrome en los ciberataques. Por lo tanto, la presencia de HITV_ST_PLATFORM probablemente sugiere que los dispositivos en cuestión son, de hecho, televisores inteligentes o decodificadores en riesgo.

En séptimo lugar, observamos el uso del agente de usuario uTorrent en los ataques. Este agente de usuario está asociado con un conocido cliente de BitTorrent que se utiliza para descargar archivos.

Por último, el agente de usuario menos habitual en los ataques DDoS fue okhttp, a pesar de su popularidad como cliente HTTP para aplicaciones Java y Android. 

Aunque el 89 % del tráfico de los ataques DDoS HTTP utilizó el método GET, también es el método HTTP más utilizado. Por lo tanto, cuando normalizamos el tráfico de ataque dividiendo el número de solicitudes de ataque por el total de solicitudes por método HTTP, la perspectiva cambia.

Casi el 12 % de todas las solicitudes que utilizaron el método DELETE formaban parte de un ataque DDoS HTTP. Después de DELETE, observamos que los métodos más utilizados en las solicitudes de ataque DDoS son HEAD, PATCH y GET.

Aunque el 80 % de las solicitudes de ataques DDoS se realizaron a través de HTTP/2 y el 19 % a través de HTTP/1.1, representaron un porcentaje mucho menor al normalizar por el tráfico total por versión. Cuando normalizamos las solicitudes de ataque por todas las solicitudes por versión, vemos un panorama diferente. Más de la mitad del tráfico a la versión no estándar o etiquetada incorrectamente como "HTTP/1.2" era malicioso y formaba parte de ataques DDoS. Es importante tener en cuenta que "HTTP/1.2" no es una versión oficial del protocolo.

^{La gran mayoría de los ataques DDoS HTTP están encriptados, casi el 94 %, mediante HTTPS.}

China fue el país que recibió más ataques en el tercer trimestre de 2024. Emiratos Árabes Unidos ocupó el segundo lugar, con Hong Kong en tercer lugar, seguido de cerca por Singapur, Alemania y Brasil.

Canadá ocupó el séptimo lugar, seguido de Corea del Sur, Estados Unidos y Taiwán en el décimo lugar.

En el tercer trimestre de 2024, los servicios bancarios y financieros fueron los más afectados por los ataques DDoS. El sector de tecnologías y servicios de la información ocupó el segundo lugar, seguido por el sector de telecomunicaciones, proveedores de servicios y operadores.

Le siguen de cerca los siguientes sectores más afectados: criptomonedas, Internet, apuestas y casinos y videojuegos. Los sectores de la electrónica de consumo, la construcción y la ingeniería civil y el comercio minorista completan los diez sectores más afectados.

Llevamos unos años encuestando a nuestros clientes que han sido víctimas de ataques DDoS. La encuesta abarca varios factores, como la naturaleza del ataque y los ciberdelincuentes. En el caso de los ciberdelincuentes, mientras que el 80 % de los encuestados indicaron que desconocían quién les había atacado, el 20 % afirmaron saberlo. De ellos, el 32 % declararon que los ciberdelincuentes eran extorsionadores. Otro 25 % indicaron que un competidor los había atacado, y otro 21 % afirmaron que un cliente o usuario descontento estaba detrás del ataque. El 14 % de los encuestados declararon que los ataques fueron llevados a cabo por un estado o por un grupo patrocinado por un estado. Por último, el 7 % explicaron que se habían atacado a sí mismos por error. Por ejemplo, se produce un autoataque DDoS cuando una actualización posterior del firmware de los dispositivos IoT hace que todos los dispositivos llamen a casa al mismo tiempo, lo que provoca una avalancha de tráfico.

^{Distribución de los principales ciberdelincuentes}

Si bien los extorsionadores fueron los ciberdelincuentes más habituales, en general, las denuncias de ataques DDoS de rescate disminuyeron un 42 % respecto al trimestre anterior, pero aumentaron un 17 % en comparación con el año anterior. Un total del 7 % de los encuestados declararon haber sido víctimas de un ataque DDoS de rescate o haber sido amenazados por el atacante. Sin embargo, en agosto esa cifra aumentó al 10 %, es decir, uno de cada diez.

^{Informes de los ataques DDoS de rescate por trimestre}

Indonesia fue el país donde se originaron más ataques DDoS en el tercer trimestre de 2024. Holanda fue el segundo país de origen más importante, seguido de Alemania, Argentina y Colombia.

Los siguientes cinco países de origen más importantes fueron Singapur, Hong Kong, Rusia, Finlandia y Ucrania.

Para los proveedores de servicios que operan sus propias redes y su propia infraestructura, puede ser difícil identificar quién está utilizando su infraestructura con intenciones maliciosas, como para generar ataques DDoS. Por este motivo, proporcionamos información gratuita sobre amenazas a los operadores de red. Este canal proporciona a los proveedores de servicios información sobre las direcciones IP de sus redes que hemos visto participar en ataques DDoS posteriores.

En ese sentido, Hetzner (AS24940), un proveedor de TI con sede en Alemania, fue la mayor fuente de ataques DDoS HTTP en el tercer trimestre de 2024. Linode (AS63949), una plataforma de informática en la nube adquirida por Akamai en 2022, fue la segunda fuente de ataques DDoS HTTP. Vultr (AS64515), un proveedor de servicios con sede en Florida, ocupó el tercer lugar.

Netcup (AS197540), otro proveedor de TI con sede en Alemania, ocupó el cuarto lugar. Google Cloud Platform (AS15169) le siguió en quinto lugar. DigitalOcean (AS14061) ocupó el sexto lugar, seguido del proveedor francés OVH (AS16276), Stark Industries (AS44477), Amazon Web Services (AS16509) y Microsoft (AS8075).

^{Redes que fueron las mayores fuentes de ataques DDoS HTTP en el tercer trimestre de 2024}

Este trimestre, observamos un aumento sin precedentes de los ataques DDoS hipervolumétricos, con picos de 3,8 Tb/s y 2200 millones de paquetes por segundo. Esto refleja una tendencia similar en el mismo periodo del año pasado, cuando los ataques a la capa de aplicación en la campaña HTTP/2 Rapid Reset superaron los 200 millones de solicitudes por segundo. Estos ataques masivos son capaces de saturar las propiedades de Internet, específicamente aquellas que dependen de soluciones locales o servicios en la nube de capacidad limitada.

El uso cada vez mayor de potentes botnets, a raíz de las tensiones geopolíticas y los acontecimientos globales, está ampliando la gama de organizaciones en riesgo, muchas de las cuales tradicionalmente no se consideraban objetivos principales de los ataques DDoS. Por desgracia, demasiadas organizaciones implementan protecciones contra DDoS de forma reactiva una vez que un ataque ya haya causado daños significativos.

Nuestras observaciones confirman que las empresas con estrategias de seguridad integrales bien preparadas son mucho más resistentes contra estas ciberamenazas. En Cloudflare, nos comprometemos a proteger tu presencia en Internet. Mediante una importante inversión en nuestras defensas automatizadas y una eficaz cartera de productos de seguridad, garantizamos una protección proactiva contra las amenazas actuales y emergentes, para que tú no tengas que hacerlo.