Te damos la bienvenida a la 17.ª edición del informe de Cloudflare sobre las amenazas DDoS. En él, abordaremos el panorama de las amenazas DDoS y las principales conclusiones observadas en la red de Cloudflare durante el 1.er trimestre de 2024.
¿Qué es un ataque DDoS?
Pero primero, convendría recapitular brevemente. Un ataque DDoS, abreviatura de ataque de denegación de servicio distribuido, es un tipo de ciberataque que tiene como objetivo desconectar o interrumpir servicios de Internet, tales como sitios web o aplicaciones móviles, para impedir que los usuarios accedan a ellos. Los ataques DDoS suelen inundar el servidor de la víctima con más tráfico del que puede procesar.
Para obtener más información sobre los ataques DDoS y otros tipos de ataques, visita nuestro Centro de aprendizaje.
Consulta informes anteriores
Te recordamos que puedes consultar ediciones anteriores de los informes sobre las amenazas DDoS en el blog de Cloudflare. También están disponibles en nuestro centro interactivo, Cloudflare Radar. Aquí, encontrarás información y tendencias globales en materia de tráfico, ataques y tecnologías de Internet. Además, la herramienta incluye funciones que te permitirán desglosar y filtrar por país, sector y red. Radar también ofrece una API gratuita que permite a académicos, profesionales especializados en la investigación de datos y otros entusiastas de la web investigar las tendencias de Internet en todo el mundo.
Para saber cómo elaboramos este informe, consulta nuestras metodologías.
Conclusiones clave del 1.er trimestre de 2024
Entre las conclusiones principales del 1.er trimestre de 2024, se incluyen:
- El año 2024 empezó fuerte. Los sistemas de protección de Cloudflare mitigaron 4,5 millones de ataques DDoS de forma automática en el 1.er trimestre, lo que representa un aumento interanual del 50 %.
- Los ataques DDoS contra los DNS se alzaron un 80 % en comparación con el mismo periodo del año pasado, y siguen siendo el vector de ataque más importante.
- Los ataques DDoS contra Suecia se dispararon un 466 % tras su adhesión a la alianza de la OTAN, reproduciendo el patrón observado durante la adhesión de Finlandia a la OTAN en 2023.
El año 2024 empezó fuerte
Acabamos de concluir el 1.er trimestre de 2024 y, nuestros sistemas de protección automatizados ya han mitigado 4,5 millones de ataques DDoS, una cantidad equivalente al 32 % de todos los ataques DDoS que mitigamos en 2023.
Por tipo de ataque, los ataques DDoS HTTP se incrementaron un 93 % interanual y un 51 % en términos intertrimestrales. Los ataques DDoS a la capa de red, también conocidos como ataques DDoS a las capas 3/4, se alzaron un 28 % interanual y un 5 % intertrimestral.
Si comparamos el número combinado de los ataques DDoS HTTP y los ataques DDoS a las capas 3/4, podemos observar que, en general, en el 1.er trimestre de 2024, el recuento se incrementó un 50 % interanual y un 18 % con respecto al trimestre anterior.
En total, nuestros sistemas mitigaron 10,5 billones de solicitudes de ataques DDoS HTTP en el 1.er trimestre. Asimismo, mitigamos más de 59 petabytes de tráfico de ataque DDoS, solo en la capa de red.
Entre esos ataques DDoS a la capa de red, muchos de ellos superaron 1 terabit por segundo (TB/s), casi una vez por semana. El mayor ataque que hemos mitigado en lo que va de año ha sido de una variante de la botnet Mirai que alcanzó los 2 TB/s y se dirigió a un proveedor de alojamiento asiático que contaba con la protección de Cloudflare Magic Transit. Los sistemas de Cloudflare detectaron y mitigaron el ataque de manera automática.
La botnet Mirai, conocida por sus ataques DDoS masivos, estaba compuesta principalmente por dispositivos IoT infectados. Entre otras cosas, interrumpió el acceso a Internet en Estados Unidos en 2016 tras un ataque a los proveedores de servicios DNS. Casi ocho años después, los ataques Mirai siguen siendo muy comunes. En concreto, 4 de cada 100 ataques DDoS HTTP, y 2 de cada 100 ataques DDoS a las capas 3/4 se atribuyen a una variante de la botnet Mirai. La razón por la que decimos "variante" es que desde que el código fuente de Mirai se hizo público, ha habido muchas modificaciones de la botnet original a lo largo de los años.
Los ataques a los DNS aumentan un 80 %
En marzo de 2024, presentamos uno de nuestros últimos sistemas de protección contra DDoS, Advanced DNS Protection. Este sistema complementa los existentes y está diseñado para proteger contra los ataques DDoS a los DNS más sofisticados.
No es casualidad que hayamos decidido invertir en este nuevo sistema. Los ataques DDoS contra los DNS se han convertido en el vector de ataque más importante y su porcentaje, entre todos los ataques a la capa de red, sigue creciendo. En el 1.er trimestre de 2024, el porcentaje de ataques DDoS contra los DNS se incrementó un 80 % interanual, hasta aproximadamente el 54 %.
A pesar del aumento de los ataques contra los DNS y debido al alza general de todos los tipos de ataques DDoS, el porcentaje de cada tipo de ataque no ha variado respecto a nuestro informe del último trimestre de 2023. Los ataques DDoS HTTP siguen representando un 37 % de todos los ataques DDoS, los ataques DDoS contra los DNS constituyen el 33 %, y el 30 % restante se reserva para todos los demás tipos de ataques a las capas 3/4, como las inundaciones SYN y las inundaciones UDP.
De hecho, las inundaciones SYN fueron el segundo ataque más común a las capas 3 y 4, y las inundaciones RST, otro tipo de ataque DDoS contra el protocolo TCP fueron el tercer tipo de ataque más frecuente. Las inundaciones UDP ocuparon el cuarto lugar con un 6 %.
Cuando analizamos el vector de ataque más común, también buscamos el vector de ataque que experimentó el mayor crecimiento, pero que no necesariamente entró en la lista de los diez primeros. Entre los vectores de ataque (amenazas emergentes), Jenkins Flood experimentó el mayor crecimiento, más del 826 % respecto al trimestre anterior.
Jenkins Flood es un ataque DDoS que aprovecha las vulnerabilidades del servidor de automatización de Jenkins, concretamente a través de los servicios de multidifusión/difusión UDP y multidifusión DNS. El atacante puede enviar pequeñas solicitudes especialmente diseñadas a un puerto UDP público en los servidores Jenkins, lo que hace que respondan con una cantidad desproporcionada de datos. Esto puede amplificar significativamente el volumen de tráfico, sobrecargando la red del objetivo y provocando la interrupción del servicio. Jenkins abordó esta vulnerabilidad (CVE-2020-2100) en 2020 tras desactivar estos servicios por defecto en versiones posteriores. Sin embargo, como podemos ver, incluso cuatro años después, se sigue abusando de esta vulnerabilidad para lanzar ataques DDoS.
HTTP/2 Continuation Flood
Otro vector de ataque que merece la pena analizar es HTTP/2 Continuation Flood. Este vector de ataque es posible por una vulnerabilidad identificada y comunicada al público por el investigador Bartek Nowotarski el 3 de abril de 2024.
Esta vulnerabilidad se dirige a las implementaciones del protocolo HTTP/2 que gestionan incorrectamente HEADERS y varias tramas CONTINUATION. El atacante envía una secuencia de tramas CONTINUATION sin la marca END_HEADERS, lo que puede provocar problemas en el servidor, como fallos por falta de memoria o agotamiento de la CPU. HTTP/2 Continuation Flood permite que incluso un solo equipo interrumpa el sitio web y la API utilizando HTTP/2, con el desafío añadido de su difícil detección debido a que no hay solicitudes visibles en los registros de acceso HTTP.
Esta vulnerabilidad plantea una amenaza potencialmente grave y más dañina que la conocida anteriormente como HTTP/2 Rapid Reset, que dio lugar a algunas de las mayores campañas de ataques DDoS HTTP/2 de la historia. Durante esa campaña, se lanzaron miles de ataques DDoS hipervolumétricos contra Cloudflare. Los ataques tenían una potencia de varios millones de solicitudes por segundo. El volumen medio de un ataque en esa campaña, registrado por Cloudflare, fue de 30 millones de solicitudes por segundo. Aproximadamente 89 de los ataques superaron los 100 millones de solicitudes y el mayor que vimos alcanzó los 201 millones de solicitudes por segundo. Publicamos información complementaria en nuestro informe sobre las amenazas DDoS en el 3.er trimestre de 2023.
La red de Cloudflare, su implementación HTTP/2 y los clientes que utilizan nuestros servicios WAF/CDN no se han visto afectados por esta vulnerabilidad. Además, actualmente no tenemos conocimiento de ningún ciberdelincuente que la esté explotando.
Se han asignado varias CVE (vulnerabilidades y exposiciones comunes) a las distintas implementaciones de HTTP/2 que se ven afectadas por esta vulnerabilidad. Una alerta CERT publicada por Christopher Cullen de la Universidad Carnegie Mellon, sobre la que informó el medio digital Bleeping Computer, enumera las diversas CVE:
| Servicio afectado | CVE | Detalles |
|---|---|---|
| Servidor HTTP/2 Node.js | CVE-2024-27983 | El envío de algunas tramas HTTP/2 podría causar una condición de carrera y una fuga de memoria, lo que podría traducirse en un potencial incidente de denegación de servicio. |
| Códec oghttp de Envoy | CVE-2024-27919 | Si no se restablece una solicitud cuando se superan los límites del mapa de encabezados, se puede originar un consumo de memoria ilimitado, lo que puede conducir a un incidente de denegación de servicio. |
| Tempesta FW | CVE-2024-2758 | Sus límites de velocidad no son del todo efectivos contra la inundación de tramas CONTINUATION vacías, lo que puede provocar un incidente de denegación de servicio. |
| amphp/http | CVE-2024-2653 | Recopila tramas CONTINUATION en un búfer ilimitado, lo que podría producir un bloqueo por falta de memoria (OOM) si se supera el límite de tamaño del encabezado, y provocar un incidente de denegación de servicio. |
| Paquetes net/http y net/http2 de Go | CVE-2023-45288 | Permite a un atacante enviar un conjunto arbitrariamente grande de encabezados, causando un consumo excesivo de CPU, y derivando en un incidente de denegación de servicio. |
| Librería nghttp2 | CVE-2024-28182 | Implica una implementación que utiliza la librería nghttp2, que sigue recibiendo tramas CONTINUATION, lo que puede provocar un evento de denegación de servicio sin una devolución de llamada de reinicio de flujo adecuada. |
| Apache Httpd | CVE-2024-27316 | Se puede enviar un flujo continuo de tramas CONTINUATION sin el indicador END_HEADERS definido, lo que podría causar una terminación incorrecta de las solicitudes, y podría conducir a un incidente de denegación de servicio. |
| Servidor de tráfico Apache | CVE-2024-31309 | Las inundaciones HTTP/2 CONTINUATION pueden causar un consumo excesivo de recursos en el servidor, lo que puede provocar un incidente de denegación de servicio. |
| Versiones de Envoy 1.29.2 o anteriores | CVE-2024-30255 | El consumo de recursos significativos del servidor puede ocasionar el agotamiento de la CPU durante una avalancha de tramas CONTINUATION, lo que puede derivar en un evento de denegación de servicio. |
Sectores más afectados
Cuando analizamos las estadísticas de los ataques, utilizamos los sectores de nuestros clientes tal y como aparecen en nuestros sistemas para comprobar cuáles fueron los más afectados. En el 1.er trimestre de 2024, el sector peor parado por los ataques DDoS HTTP en Norteamérica fue el de marketing y publicidad. En África y Europa, las tecnologías de la información e Internet fueron los sectores más afectados. En Oriente Medio, el mayor blanco de ataques fue el sector del software informático. En Asia, los videojuegos y las apuestas fueron los principales objetivos y en Sudamérica, el sector más afectado fue el de banca, servicios financieros y seguros (BFSI). Por último, pero no menos importante, en Oceanía, el sector de las telecomunicaciones fue el más afectado.
A nivel mundial, el sector de los videojuegos y las apuestas fue el principal objetivo de los ataques DDoS HTTP. Algo más de 7 de cada 100 solicitudes DDoS mitigadas por Cloudflare se dirigieron al sector de los videojuegos y las apuestas. El segundo lugar fue para el sector de las tecnologías de la información e Internet, y el tercero para el marketing y la publicidad.
Con un porcentaje del 75 % de todos los bytes de ataques DDoS a la capa de red, el sector de las tecnologías de la información e Internet fue el más afectado por los ataques DDoS a la capa de red. Una posible explicación de este volumen importante es que las empresas de tecnología de la información e Internet pueden ser "súper agregadores" de ataques y recibir ataques DDoS que en realidad están dirigidos a sus clientes finales. Los sectores de las telecomunicaciones, BFSI, los videojuegos y las apuestas, y el software informático representaron el siguiente 3 %.
Cuando normalizamos los datos dividiendo el tráfico de ataque por el tráfico total a un sector determinado, obtenemos una perspectiva completamente distinta. En cuanto a los ataques HTTP, las firmas de abogados y los servicios jurídicos fueron los sectores más afectados, ya que más del 40 % de su tráfico correspondió a ataques DDoS HTTP. El sector de la biotecnología ocupó el segundo lugar, con un porcentaje del 20 % del tráfico de ataque DDoS HTTP. En tercer lugar, las organizaciones sin ánimo de lucro registraron un porcentaje de ataques DDoS HTTP del 13 %. Les siguieron en cuarto lugar, los sectores aeronáutico y aeroespacial, el transporte, el comercio mayorista, las relaciones gubernamentales, el cine, las políticas públicas y el entretenimiento para adultos, que completaron la lista de los diez primeros puestos.
Volviendo a la capa de red, tras normalizar los datos, las tecnologías de la información e Internet siguieron siendo el sector peor parado por los ataques DDoS a las capas 3 y 4, ya que casi un tercio de su tráfico se relacionó con ataques. En segundo lugar, el porcentaje de los ataques al sector textil fue del 4 %. En tercer lugar, la ingeniería civil, seguida de los servicios BFSI, el sector militar, la construcción, los dispositivos médicos, la defensa y el espacio, los videojuegos y las apuestas, y, por último, el comercio minorista, que completaron la lista de los diez primeros puestos.
Principales orígenes de los ataques DDoS
Para analizar los orígenes de los ataques DDoS HTTP, observamos la dirección IP de origen y así determinamos la ubicación de origen de esos ataques. Un país/región que es una fuente importante de ataques indica que lo más probable es que haya una gran presencia de nodos de botnet detrás de la red privada virtual (VPN) o puntos finales de proxy que el atacante puede utilizar para ofuscar su origen.
En el 1.er trimestre de 2024, Estados Unidos fue el principal origen del tráfico de ataques DDoS HTTP, ya que una quinta parte de todas las solicitudes de ataques DDoS procedió de direcciones IP de Estados Unidos. China ocupó el segundo lugar, seguida de Alemania, Indonesia, Brasil, Rusia, Irán, Singapur, India y Argentina.
En la capa de red, las direcciones IP de origen se pueden falsificar. Así que, en lugar de depender de las direcciones IP para comprender el origen, utilizamos la ubicación de nuestros centros de datos donde se recibió el tráfico de ataque. Podemos obtener precisión geográfica gracias a la gran cobertura global de Cloudflare en más de 310 ciudades de todo el mundo.
La ubicación de nuestros centros de datos nos permite ver que en el 1.er trimestre de 2024, nuestros centros de datos de Estados Unidos recibieron más del 40 % del tráfico de ataques DDoS a las capas 3/4, lo que convirtió al país en el principal origen de los ataques a las capas 3/4. Muy por detrás, en segundo lugar, se encuentra Alemania con un 6 %, seguida de Brasil, Singapur, Rusia, Corea del Sur, Hong Kong, Reino Unido, Países Bajos y Japón.
Si normalizamos los datos dividiendo el tráfico de ataque por el tráfico total a un país o región determinados, obtenemos una lista totalmente diferente. Casi un tercio del tráfico HTTP originado en Gibraltar fue tráfico de ataque DDoS, lo que la convierte en el principal origen de los ataques. En segundo lugar está Santa Elena, seguida de las Islas Vírgenes Británicas, Libia, Paraguay, Mayotte, Guinea Ecuatorial, Argentina y Angola.
Volviendo a la capa de red, tras normalizar los datos, la situación también parece bastante diferente. Casi el 89 % del tráfico que recibimos en nuestros centros de datos de Zimbabue formó parte de ataques DDoS a las capas 3/4. En Paraguay, el tráfico de ataque superó el 56 %, seguido de Mongolia, que alcanzó un porcentaje de ataque de casi el 35 %. Otras ubicaciones destacadas fueron Moldavia, República Democrática del Congo, Ecuador, Yibuti, Azerbaiyán, Haití y República Dominicana.
Países más afectos por los ataques
Cuando analizamos los ataques DDoS contra nuestros clientes, utilizamos su país de facturación para determinar el "país (o región) afectado". En el 1.er trimestre de 2024, Estados Unidos fue el mayor objetivo de los ataques DDoS HTTP. Aproximadamente 1 de cada 10 solicitudes DDoS mitigadas por Cloudflare se dirigió a Estados Unidos. El segundo lugar fue para China, seguida de Canadá, Vietnam, Indonesia, Singapur, Hong Kong, Taiwán, Chipre y Alemania.
Cuando normalizamos los datos dividiendo el tráfico de ataque por el tráfico total a un país o región determinados, la lista cambia drásticamente. Más del 63 % del tráfico HTTP dirigido a Nicaragua formó parte de ataques DDoS, el país peor parado. En segundo lugar se encuentra Albania, seguida de Jordania, Guinea, San Marino, Georgia, Indonesia, Camboya, Bangladesh y Afganistán.
En cuanto a la capa de red, China fue el país más afectado, ya que el 39 % de todos los bytes DDoS mitigados por Cloudflare en el 1.er trimestre de 2024 se dirigieron a clientes chinos de Cloudflare. Hong Kong ocupó el segundo lugar, seguido de Taiwán, Estados Unidos y Brasil.
Volviendo a la capa de red, tras normalizar los datos, Hong Kong toma la delantera como el país más afectado. El tráfico de ataques DDoS a las capas 3/4 representó más del 78 % de todo el tráfico con destino a Hong Kong. En segundo lugar, se encuentra China, con un porcentaje de ataques DDoS del 75 %, seguida de Kazajistán, Tailandia, San Vicente y las Granadinas, Noruega, Taiwán, Turquía, Singapur y Brasil.
Cloudflare está aquí para ayudar, independientemente del tipo de ataque, el tamaño o la duración
La misión de Cloudflare es ayudar a mejorar Internet para que siga siendo seguro, eficaz y accesible para todos. Dado que 4 de cada 10 ataques DDoS HTTP duran más de 10 minutos y aproximadamente 3 de cada 10 duran más de una hora, el desafío es considerable. Sin embargo, tanto si un ataque implica más de 100 000 solicitudes por segundo, como ocurre en 1 de cada 10 ataques, como si supera el millón de solicitudes por segundo, una peculiaridad que se observa solo en 4 de cada 1000 ataques, los sistemas de protección de Cloudflare siguen siendo impenetrables.
Desde que fuimos pioneros en la protección ilimitada contra DDoS en 2017, Cloudflare ha cumplido su promesa de ofrecer protección contra DDoS de nivel empresarial gratuitamente a todas las organizaciones. Garantizamos que nuestra tecnología avanzada y nuestra sólida arquitectura de red no solo evitan los ataques, sino que además mantienen el rendimiento intacto.