Te damos la bienvenida a la 20.ª edición del informe de Cloudflare sobre las amenazas DDoS, cuando se cumplen cinco años desde nuestro primer informe en 2020.
Este informe, que se publica cada trimestre, ofrece un análisis exhaustivo de la evolución del panorama de amenazas de los ataques de denegación de servicio distribuido (DDoS) basado en los datos de la red de Cloudflare. En esta edición, nos centramos en el cuarto trimestre de 2024 y analizamos el año en su conjunto.
Posición estratégica exclusiva de Cloudflare
Cuando publicamos nuestro primer informe, la capacidad de la red global de Cloudflare era de 35 terabits por segundo (Tb/s). Desde entonces, la capacidad de nuestra red ha crecido un 817 %, hasta los 321 Tb/s. También hemos ampliado significativamente nuestra presencia global en un 65 %, pasando de 200 ciudades a principios de 2020 a 330 ciudades a finales de 2024.
Con esta red masiva, ahora servimos y protegemos casi el 20 % de todos los sitios web y unas 18 000 redes IP exclusivas de clientes de Cloudflare. Esta amplia infraestructura y base de clientes nos pone en una posición única para proporcionar perspectivas clave y tendencias que benefician a la comunidad de Internet en general.
Perspectivas clave sobre los ataques DDoS
En 2024, los sistemas autónomos de protección contra DDoS de Cloudflare bloquearon alrededor de 21,3 millones de ataques DDoS, lo que representa un aumento del 53 % en comparación con 2023. En 2024, Cloudflare bloqueó un promedio de 4870 ataques DDoS cada hora.
En el cuarto trimestre, más de 420 de esos ataques fueron hipervolumétricos, y superaron los 1000 millones de paquetes por segundo (pps) y 1 Tb/s. Además, la cantidad de ataques que superaron 1 Tb/s creció un asombroso 1885 % respecto al trimestre anterior.
Durante la semana de Halloween de 2024, los sistemas de protección contra DDoS de Cloudflare detectaron y bloquearon con éxito y de forma autónoma un ataque DDoS de 5,6 terabits por segundo (Tb/s), el mayor ataque jamás registrado.
Para obtener más información sobre los ataques DDoS y otros tipos de ciberamenazas, visita nuestro Centro de aprendizaje, accede a informes anteriores sobre las amenazas DDoS en el blog de Cloudflare o visita nuestro centro interactivo, Cloudflare Radar. También hay una API gratuita para aquellos interesados en investigar estas y otras tendencias de Internet. Asimismo, puedes obtener más información sobre las metodologías utilizadas en la preparación de estos informes.
Anatomía de un ataque DDoS
Solo en el cuarto trimestre de 2024, Cloudflare mitigó 6,9 millones de ataques DDoS. Esto representa un aumento del 16 % en términos intertrimestrales y del 83 % en términos interanuales.
De los ataques DDoS del cuarto trimestre de 2024, 49 % (3,4 millones) fueron ataques DDoS a las capas 3 y 4 y el 51
% (3,5 millones) fueron ataques DDoS HTTP.
Distribución de 6,9 millones de ataques DDoS: 4º trimestre de 2024
La mayoría de los ataques DDoS HTTP (73 %) los lanzaron botnets conocidas. La rapidez de la detección y el bloqueo de estos ataques fue posible gracias a que operamos una red masiva y observamos muchos tipos de ataques y botnets. A su vez, esto permite a nuestros ingenieros e investigadores de seguridad elaborar heurísticas para aumentar la eficacia de la mitigación contra estos ataques.
Un 11 % adicional de los ataques DDoS HTTP detectados suplantaban un navegador legítimo. Otro 10 % fueron ataques que contenían atributos HTTP sospechosos o inusuales. El 8 % restante, "Otros", fueron inundaciones HTTP genéricas, ataques volumétricos de cache busting (ignorar caché) y ataques volumétricos contra puntos finales de inicio de sesión.
Principales vectores de ataque DDoS HTTP: 4º trimestre de 2024
Estos vectores de ataque, o grupos de ataque, no son necesariamente excluyentes. Por ejemplo, las botnets conocidas también se hacen pasar por navegadores y tienen atributos HTTP sospechosos, pero este desglose es nuestro intento de categorizar los ataques DDoS HTTP de forma significativa.
Principales agentes de usuario
En el momento de la publicación de este informe, la versión estable actual de Chrome para Windows, Mac, iOS y Android es la 132, según las notas de la versión de Google. Sin embargo, parece que los ciberdelincuentes aún no están al día, ya que 13 de los principales agentes de usuario que aparecen con más frecuencia en los ataques DDoS son versiones de Chrome entre la 118 y la 129.
El mayor porcentaje de solicitudes DDoS del total de solicitudes (99,9 %) corresponde al agente de usuario HITV_ST_PLATFORM, por lo que es el agente de usuario utilizado casi exclusivamente en los ataques DDoS. En otras palabras, si ves tráfico procedente del agente de usuario HITV_ST_PLATFORM, la probabilidad de que sea tráfico legítimo es del 0,1 %.
Los ciberdelincuentes suelen evitar el uso de agentes de usuario poco comunes, y prefieren los más habituales, como Chrome, para que se integren con el tráfico normal. La presencia del agente de usuario HITV_ST_PLATFORM, que está asociado con los televisores inteligentes y los decodificadores, sugiere que los dispositivos implicados en determinados ciberataques son televisores inteligentes o decodificadores en riesgo. Esta observación destaca la importancia de proteger todos los dispositivos conectados a Internet, incluidos los televisores inteligentes y los decodificadores, para evitar su explotación en ciberataques.
Principales agentes de usuario objeto de abuso en ataques DDoS: 4º trimestre de 2024
El agente de usuario hackney ocupa el segundo lugar, con el 93 % de las solicitudes que contenían este agente de usuario como parte de un ataque DDoS. Si encuentras tráfico procedente del agente de usuario hackney, hay un 7 % de posibilidades de que sea tráfico legítimo. Hackney es una biblioteca de cliente HTTP para Erlang, que se utiliza para realizar solicitudes HTTP y es popular en los ecosistemas Erlang/Elixir.
Otros agentes de usuario que se utilizaron en los ataques DDoS son uTorrent, que está asociado a un popular cliente BitTorrent para la descarga de archivos. Go-http-client y fasthttp también se utilizaron con frecuencia en los ataques DDoS. El primero es el cliente HTTP predeterminado en la biblioteca estándar de Go y el segundo es una alternativa de alto rendimiento. fasthttp se utiliza para crear aplicaciones web rápidas, pero a menudo también es objeto de ataques DDoS y de apropiación web.
Atributos HTTP utilizados habitualmente en los ataques DDoS
Los métodos HTTP (también llamados verbos HTTP) definen la acción que se va a realizar en un recurso en un servidor. Forman parte del protocolo HTTP y permiten la comunicación entre los clientes (como los navegadores) y los servidores.
El método GET es el más utilizado. Casi el 70 % de las solicitudes HTTP legítimas utilizaron el método GET. En segundo lugar se encuentra el método POST, con un porcentaje del 27 %.
Con los ataques DDoS vemos un panorama diferente. Casi el 14 % de las solicitudes HTTP que utilizaron el método HEAD formaban parte de un ataque DDoS, a pesar de que apenas estaba presente en las solicitudes HTTP legítimas (0,75 % de todas las solicitudes). El método DELETE ocupa el segundo lugar, con un uso de aproximadamente el 7 % para ataques DDoS.
Destaca la desproporción entre los métodos que se suelen observar en los ataques DDoS y su presencia en el tráfico legítimo. Los administradores de seguridad pueden utilizar esta información para optimizar su postura de seguridad en función de los encabezados siguientes.
Distribución de los métodos HTTP en los ataques DDoS y el tráfico legítimo: cuarto trimestre de 2024
Una ruta HTTP describe un recurso de servidor específico. Junto con el método HTTP, el servidor realizará la acción en el recurso.
Por ejemplo, GET https://developers.cloudflare.com/ddos-protection/ indicará al servidor que recupere el contenido del recurso /ddos-protection/.
Los ataques DDoS suelen tener como objetivo la raíz del sitio web ("/"), pero en otros casos pueden ir dirigidos a rutas específicas. En el cuarto trimestre de 2024, el 98 % de las solicitudes HTTP dirigidas a la ruta /wp-admin/ formaban parte de ataques DDoS. La ruta /wp-admin/ es el panel de control del administrador por defecto para los sitios web de WordPress.
Evidentemente, muchas rutas son exclusivas del sitio web específico, pero en el gráfico siguiente proporcionamos las principales rutas genéricas que sufrieron más ataques. Los administradores de seguridad pueden utilizar estos datos para reforzar su protección en estos puntos finales, según corresponda.
Principales rutas HTTP objeto de ataques DDoS HTTP: 4º trimestre de 2024
En el cuarto trimestre, casi el 94 % del tráfico legítimo fue HTTPS. Solo el 6 % era HTTP de texto sin encriptar. En cuanto al tráfico de ataques DDoS, alrededor del 92 % de las solicitudes de ataques DDoS HTTP se realizaron a través de HTTPS y casi el 8 % a través de HTTP de texto sin encriptar.
HTTP vs. HTTPS en tráfico legítimo y ataques DDoS: 4º trimestre de 2024
Ataques DDoS a las capas 3 y 4
Los tres principales vectores de ataque a las capas 3 y 4 (capa de red) más comunes fueron la inundación SYN (38 %), los ataques de inundación DNS (16 %) y las inundaciones UDP (14 %).
Principales vectores de ataque DDoS a las capas 3 y 4: 4º trimestre de 2024
Otro vector de ataque común, o mejor dicho, tipo de botnet, es Mirai. Los ataques Mirai representaron el 6 % de todos los ataques DDoS a la capa de red, un aumento intertrimestral del 131 %. En el cuarto trimestre de 2024, una variante de la botnet Mirai fue responsable del mayor ataque DDoS registrado, pero lo analizaremos en más detalle en la siguiente sección.
Vectores de ataque emergentes
Antes de pasar a la siguiente sección, vale la pena analizar el crecimiento de los vectores de ataque adicionales observado este trimestre.
Principales amenazas emergentes: cuarto trimestre de 2024
El mayor crecimiento corresponde a los ataques DDoS basados en Memcached, con un aumento del 314 % respecto al trimestre anterior. Memcached es un sistema de almacenamiento en caché de bases de datos para acelerar sitios web y redes. Se puede abusar de los servidores Memcached compatibles con UDP para lanzar ataques DDoS de amplificación o reflexión. En este caso, el atacante solicitaría contenido del sistema de almacenamiento en caché y suplantaría la dirección IP de la víctima como la dirección IP de origen en los paquetes UDP. La víctima se verá inundada con las respuestas de Memcache, que pueden ser hasta 51 200 veces mayores que la solicitud inicial.
Los ataques DDoS contra BitTorrent también han aumentado un 304 % este trimestre. El protocolo BitTorrent es un protocolo de comunicación que se utiliza para el uso compartido de archivos punto a punto. Para ayudar a los clientes de BitTorrent a encontrar y descargar los archivos de forma eficiente, estos pueden utilizar los trackers de BitTorrent o las tablas de hash distribuidas (DHT) para identificar los pares que están propagando el archivo que desean. Se puede abusar de este concepto para lanzar ataques DDoS. Un ciberdelincuente puede suplantar la dirección IP de la víctima para que parezca una dirección IP de propagador en los sistemas de trackers y DHT. Los clientes pueden entonces solicitar los archivos de esas direcciones IP. Si hay un número suficiente de clientes que solicitan el archivo, la víctima se puede ver inundada con más tráfico del que puede asumir.
El mayor ataque DDoS registrado
El 29 de octubre, un ataque DDoS UDP de 5,6 Tb/s lanzado por una variante de la botnet Mirai tuvo como objetivo a un cliente de Cloudflare Magic Transit, un proveedor de acceso a Internet de Asia oriental. El ataque duró solo 80 segundos y se originó en más de 13 000 dispositivos IoT. La detección y la mitigación fueron totalmente autónomas gracias a los sistemas de defensa distribuida de Cloudflare. No requirió intervención humana, no activó ninguna alerta ni causó ninguna degradación del rendimiento. Los sistemas funcionaron según lo previsto.
Las soluciones autónomas de protección contra DDoS de Cloudflare mitigan un ataque DDoS de Mirai de 5,6 Tb/s sin intervención humana
Aunque el número total de direcciones IP de origen únicas fue de unas 13 000, el promedio de direcciones IP de origen únicas por segundo fue de 5500. También observamos un número similar de puertos de origen únicos por segundo. En el gráfico siguiente, cada línea representa una de las 13 000 direcciones IP de origen distintas y, como se muestra, cada una contribuyó con menos de 8 Gb/s por segundo. La contribución media de cada dirección IP por segundo fue de alrededor de 1 Gb/s (aproximadamente el 0,012 % de 5,6 Tb/s).
Las 13 000 direcciones IP de origen que lanzaron el ataque DDoS de 5,6 Tb/s
Ataques DDoS HTTP hipervolumétricos
En el tercer trimestre de 2024, empezamos a observar un aumento de los ataques DDoS hipervolumétricos a la capa de red. En el cuarto trimestre de 2024, la cantidad de ataques que superaron 1 Tb/s aumentó un 1885 % respecto al trimestre anterior, y los ataques que superaron los 100 millones de pps (paquetes por segundo) aumentaron un 175 % en el mismo periodo. El 16 % de los ataques que superaron los 100 millones de paquetes por segundo también superaron los 1000 millones de pps.
Distribución de los ataques DDoS hipervolumétricos a las capas 3 y 4: 4º trimestre de 2024
La mayoría de los ataques DDoS HTTP (63 %) no superaron las 50 000 solicitudes por segundo. En el otro extremo del espectro, el 3 % de los ataques DDoS HTTP superaron los 100 millones de solicitudes por segundo.
Del mismo modo, la mayoría de los ataques DDoS a la capa de red también son pequeños. El 93 % no superó los 500 Mb/s y el 87 % no superó los 50 000 paquetes por segundo.
Cambio intertrimestral en el tamaño de los ataques por velocidad de paquetes: 4º trimestre de 2024
Cambio intertrimestral en el tamaño de los ataques por velocidad de bits: 4º trimestre de 2024
La mayoría de los ataques DDoS HTTP (72 %) finalizan en menos de diez minutos. Aproximadamente el 22 % de los ataques DDoS HTTP duran más de una hora, y el 11 % duran más de 24 horas.
Del mismo modo, el 91 % de los ataques DDoS a la capa de red también finalizan en menos de diez minutos. Solo el 2 % dura más de una hora.
En general, se ha producido una disminución intertrimestral significativa en la duración de los ataques DDoS. Debido a la brevedad de la mayoría de los ataques, en la mayoría de los casos no es factible que un humano responda a una alerta, analice el tráfico y aplique la mitigación. La corta duración de los ataques subraya la necesidad de un servicio de protección contra DDoS en línea, siempre activo y automatizado.
Cambio intertrimestral en la duración de los ataques: 4º trimestre de 2024
En el último trimestre de 2024, Indonesia siguió siendo el principal origen de ataques DDoS en todo el mundo por segundo trimestre consecutivo. Para entender de dónde proceden los ataques, cartografiamos las direcciones IP de origen que lanzan los ataques DDoS HTTP, ya que no se pueden suplantar, y para los ataques DDoS a las capas 3 y 4 utilizamos la ubicación de nuestros centros de datos donde se ingirieron los paquetes de ataques DDoS. Esto nos permite superar la capacidad de suplantación que es posible en las capas 3 y 4. Podemos lograr la precisión geográfica gracias a nuestra extensa red que abarca más de 330 ciudades en todo el mundo.
Hong Kong ocupa el segundo lugar, tras haber subido cinco posiciones respecto al trimestre anterior. Singapur avanzó tres puestos, quedando en tercer lugar.
Los 10 mayores orígenes de ataques DDoS: 4º trimestre de 2024
Principales redes de origen
Un sistema autónomo (AS) es una red grande o un grupo de redes que tiene una política de enrutamiento unificada. Cada ordenador o dispositivo que se conecta a Internet está conectado a un AS. Para saber cuál es tu AS, visita https://radar.cloudflare.com/ip.
Al observar el origen de los ataques DDoS, específicamente los ataques DDoS HTTP, vemos algunos sistemas autónomos que destacan.
El AS del que vimos que procedía la mayor cantidad de tráfico de ataques DDoS HTTP en el cuarto trimestre de 2024 fue Hetzner (AS24940), ubicado en Alemania. Casi el 5 % de todas las solicitudes DDoS HTTP se originaron en la red de Hetzer, es decir, 5 de cada 100 solicitudes DDoS HTTP que Cloudflare bloqueó se originaron en Hetzner.
En segundo lugar tenemos Digital Ocean (AS14061), de Estados Unidos, seguido de OVH (AS16276) de Francia, en tercer lugar.
Las 10 mayores redes de origen de ataques DDoS: 4º trimestre de 2024
Para muchos operadores de red como los mencionados anteriormente, puede ser difícil identificar a los actores maliciosos que abusan de su infraestructura para lanzar ataques. Para ayudar a los operadores de red y a los proveedores de servicios a tomar medidas efectivas contra los abusos, proporcionamos una fuente gratuita de información sobre amenazas de botnets DDoS que proporciona a los propietarios de ASN una lista de sus direcciones IP que hemos visto participar en ataques DDoS.
Principales responsables de los ataques
La mayoría de los clientes de Cloudflare encuestados que fueron víctimas de ataques DDoS declararon que no sabían quién los había atacado. Los que sí lo sabían señalaron a sus competidores como los principales responsables de los ataques (40 %). Otro 17 % indicaron que un ciberdelincuente de estado-nación o financiado por estados estaba detrás del ataque, y un porcentaje similar declararon que un usuario o cliente insatisfecho era el responsable del ataque.
Otro 14 % afirmaron que un extorsionador estaba detrás de los ataques. El 7 % explicaron que se trataba de un ataque DDoS autoinfligido, el 2 % establecieron el hacktivismo como la causa del ataque, y otro 2 % afirmaron que los ataques los lanzaron antiguos empleados.
Principales responsables de los ataques: 4º trimestre de 2024
En el último trimestre de 2024, como habíamos previsto, observamos un aumento de los ataques DDoS de rescate. Este incremento era previsible, dado que el cuarto trimestre es el mejor momento para los ciberdelincuentes, debido al aumento de las compras en línea, los planes de viajes y las actividades navideñas. La caída de estos servicios durante los picos de tráfico puede afectar significativamente a los ingresos de las organizaciones y causar interrupciones en el mundo real, como retrasos y cancelaciones de vuelos.
En el cuarto trimestre, el 12 % de los clientes de Cloudflare que fueron objetivos de ataques DDoS declararon haber recibido amenazas o extorsiones para pagar un rescate. Esto representa un aumento del 78 % en relación con el trimestre anterior y del 25 % interanual en comparación con el cuarto trimestre de 2023.
Ataques DDoS de rescate registrados por trimestre: 2024
Si analizamos globalmente el año 2024, Cloudflare recibió el mayor número de informes de ataques DDoS de rescate en mayo. En el cuarto trimestre, podemos ver el aumento gradual a partir de octubre (10 %), noviembre (13 %) y diciembre (14 %), el máximo en siete meses.
Ataques DDoS de rescate registrados por mes: 2024
En el cuarto trimestre de 2024, China mantuvo su posición como el país más afectado por los ataques. Para comprender qué países son objeto de más ataques, agrupamos los ataques DDoS por el país de facturación de nuestros clientes.
Filipinas aparece por primera vez como el segundo país más afectado entre las primeras 10 posiciones. Taiwán sube al tercer puesto, escalando siete posiciones respecto al trimestre anterior.
En el siguiente mapa, puedes ver las 10 ubicaciones más afectadas por los ataques y cómo ha cambiado su posición en la clasificación respecto al trimestre anterior.
Las 10 ubicaciones más afectadas por ataques DDoS: 4º trimestre de 2024
En el cuarto trimestre de 2024, el sector de las telecomunicaciones y los proveedores y operadores de servicios pasa del tercer lugar (en el trimestre anterior) al primer lugar como el sector más afectado por los ataques. Para comprender qué sectores son objeto de más ataques, agrupamos los ataques DDoS por el sector de nuestros clientes. El sector de Internet ocupa el segundo lugar, seguido del sector de marketing y publicidad en tercer lugar.
El sector de los servicios bancarios y financieros desciende siete posiciones, del primer puesto en el tercer trimestre de 2024 al octavo en el cuarto trimestre.
Los 10 sectores más afectados por ataques DDoS: 4º trimestre de 2024
Nuestro compromiso con la protección contra DDoS ilimitada
En el cuarto trimestre de 2024 se produjo un aumento de los ataques DDoS hipervolumétricos a las capas 3 y 4, el mayor de ellos sin precedentes, con un pico de 5,6 Tb/s. Este incremento del tamaño de los ataques deja obsoletos los servicios de protección contra DDoS en la nube de capacidad limitada o los dispositivos DDoS locales.
El uso cada vez mayor de potentes botnets, impulsado por factores geopolíticos, ha ampliado el abanico de objetivos vulnerables. El aumento de los ataques DDoS de rescate también preocupa cada vez más.
Demasiadas organizaciones solo implementan la protección contra DDoS después de sufrir un ataque. Nuestras observaciones muestran que las organizaciones con estrategias de seguridad proactivas son más resilientes. En Cloudflare, invertimos en defensas automatizadas y en una cartera de soluciones de seguridad integral para ofrecer protección proactiva contra las amenazas actuales y emergentes.
Con nuestra red de 321 Tb/s que abarca 330 ciudades en todo el mundo, seguimos comprometidos a ofrecer protección contra DDoS ilimitada y de tarifa plana, independientemente del tamaño, la duración y la cantidad de los ataques.