Informe de seguridad de las aplicaciones: actualización de 2024

En los últimos doce meses, el panorama de la seguridad en Internet ha cambiado drásticamente. La incertidumbre geopolítica, junto con el hecho de que en 2024 se celebren elecciones en muchos países de todo el mundo, ha provocado un aumento considerable de las actividades relacionadas con el tráfico malicioso en Internet. En este informe, analizamos la perspectiva de Cloudflare sobre la seguridad de las aplicaciones de Internet.

Este informe es la cuarta edición de nuestro informe sobre la seguridad de las aplicaciones y es una actualización oficial de nuestro informe del segundo trimestre de 2023. Como novedad, incluye una sección centrada en la seguridad del lado cliente en el contexto de las aplicaciones web.

En el informe analizamos distinta información. Desde un punto de vista global, el tráfico mitigado en toda la red representa ahora un promedio del 7 %, y las mitigaciones de WAF y de bots generan más de la mitad de ese tráfico. Aunque los ataques DDoS siguen siendo el principal vector de ataque utilizado contra las aplicaciones web, también vale la pena tener en cuenta los ataques CVE selectivos, ya que hemos observado explotaciones de vulnerabilidades que se han producido tan solo 22 minutos después del lanzamiento de una prueba de concepto.

Si nos centramos en los bots, aproximadamente una tercera parte de todo el tráfico que observamos está automatizado, y la gran mayoría (93 %) de ese tráfico no lo generan bots de la lista verificada de Cloudflare y es potencialmente malicioso.

El tráfico de API también sigue creciendo, ya que representa el 60 % de todo el tráfico, y quizás lo más preocupante es que las organizaciones tienen hasta una cuarta parte de sus puntos finales de la API no contabilizados.

También abordamos la seguridad del lado del cliente y la proliferación de integraciones de terceros en las aplicaciones web. De promedio, los sitios empresariales integran 47 puntos finales de terceros, según los datos de Page Shield.

También vale la pena mencionar que, desde el último informe, nuestra red, de la que recopilamos los datos y la información, es más grande y más rápida: ahora procesamos un promedio de 57 millones de solicitudes HTTP/segundo (+23,9 % interanual) y 77 millones en su punto máximo (+22,2 % interanual). Desde la perspectiva del DNS, gestionamos 35 millones de consultas DNS por segundo (+40 % interanual). Es la suma de las solicitudes autoritativas y de resolución atendidas por nuestra infraestructura.

Quizá sea aún más destacado que, si nos centramos solo en las solicitudes HTTP, en el primer trimestre de 2024 Cloudflare bloqueó un promedio de 209 000 millones de ciberamenazas al día (+86,6 % interanual). Se trata de un aumento considerable en términos relativos en comparación con el mismo periodo del año pasado.

Como de costumbre, debemos definir nuestros términos antes de empezar.

En este informe, haremos referencia a los términos siguientes:

• Tráfico mitigado: cualquier solicitud HTTP* de un visitante a la que la plataforma de Cloudflare haya aplicado una acción de "terminación". Estas acciones son: BLOCK, CHALLENGE, JS_CHALLENGE y MANAGED_CHALLENGE. No incluye las solicitudes a las que se aplicaron las siguientes acciones: LOG, SKIP, ALLOW. También representaron un porcentaje relativamente pequeño de las solicitudes. Además, hemos mejorado nuestro cálculo con respecto a las acciones de tipo CHALLENGE para garantizar que solo los desafíos no resueltos se contabilicen como mitigados. Puedes encontrar una  descripción detallada de las acciones en nuestra documentación para desarrolladores. Esto no ha cambiado desde el informe del año pasado.

• Tráfico de bots/tráfico automatizado: cualquier solicitud HTTP* que el sistema de gestión de bots de Cloudflare identifique que ha sido generada por un bot. Incluye las solicitudes con una puntuación de bot entre 1 y 29, ambas inclusive. Esto no ha cambiado desde el informe del año pasado.

• Tráfico de API: cualquier solicitud HTTP* con un tipo de contenido de respuesta XML o JSON. Cuando el tipo de contenido de la respuesta no está disponible, como en el caso de las solicitudes mitigadas, se utiliza en su lugar el tipo de contenido Accept equivalente (especificado por el agente de usuario). En este último caso, el tráfico de API no se tendrá en cuenta en su totalidad, pero a efectos de información sigue proporcionando una buena representación. Esto no ha cambiado desde el informe del año pasado.

A menos que se indique lo contrario, el periodo evaluado en esta publicación es el periodo comprendido entre el 1 de abril de 2023 y el 31 de marzo de 2024, ambos inclusive.

Por último, ten en cuenta que los datos se calculan de acuerdo solo con el tráfico observado en la red de Cloudflare, y no representan necesariamente los patrones de tráfico HTTP globales de Internet.

^{*Cuando hacemos referencia al tráfico HTTP, nos referimos tanto a tráfico HTTP como a tráfico HTTPS.}

En comparación con el periodo anterior de 12 meses, Cloudflare mitigó un mayor porcentaje de tráfico de la capa de aplicación y de ataques DDoS a esta capa entre el segundo trimestre de 2023 y el primer trimestre de 2024, pasando del 6 % al 6,8 %.

Figura 1: Porcentaje de aumento del tráfico HTTP mitigado en los últimos 12 meses

Durante los ataques globales a gran escala, podemos observar picos de tráfico mitigado que representan casi el 12 % de todo el tráfico HTTP. Se trata de picos mucho mayores de los que hemos observado hasta la fecha en toda nuestra red.

Conforme la plataforma de Cloudflare sigue exponiendo señales adicionales para identificar el tráfico potencialmente malicioso, los clientes han estado utilizando activamente estas señales en las reglas personalizadas del WAF para mejorar su postura de seguridad. Algunos ejemplos de señales son nuestra solución WAF Attack Score, que identifica la carga malintencionada, y nuestra puntuación de bots, que identifica el tráfico automatizado.

Tras las mitigaciones del WAF y de bots, las reglas DDoS HTTP son la segunda solución que más contribuye al tráfico mitigado. La reputación de dirección IP (que utiliza nuestra puntuación de amenaza de dirección IP para bloquear el tráfico) y las reglas de acceso (que son simplemente bloqueos de dirección IP y de país) ocupan la tercera y cuarta posición, respectivamente.

Figura 2: Tráfico mitigado por grupo de productos de Cloudflare

Las vulnerabilidades de día cero (también conocidas como amenazas de día cero) van en aumento, al igual que la velocidad con la que las CVE divulgadas se utilizan como arma. En 2023, se explotaron en el entorno 97 vulnerabilidades de día cero, lo que se suma a un aumento del 15 % de las CVE divulgadas entre 2022 y 2023.

En cuanto a los intentos de explotación de CVE contra los clientes, Cloudflare observó principalmente actividad de exploración, seguida de inyecciones de comandos, y algunos intentos de explotación de vulnerabilidades que tenían pruebas de concepto disponibles en línea, entre ellas, CVE-2023-50164 y CVE-2022-33891 de Apache, CVE-2023- 29298, CVE-2023-38203 y CVE-2023-26360 de Coldfusion y CVE-2023-35082 de MobileIron.

Esta tendencia de la actividad de intentos de explotación de CVE indica que los atacantes se dirigen primero a los objetivos más fáciles, y es probable que tengan éxito en algunos casos dada la actividad constante relacionada con vulnerabilidades antiguas.

Como ejemplo, Cloudflare observó intentos de explotación de CVE-2024-27198 (omisión de autenticación de JetBrains TeamCity) a las 19:45 UTC del 4 de marzo, tan solo 22 minutos después de la publicación del código de prueba de concepto.

Figura 3: Cronología de la omisión de la autenticación de JetBrains TeamCity

La velocidad de explotación de las CVE divulgadas suele ser más rápida que la velocidad a la que los humanos pueden crear reglas WAF o crear e implementar revisiones para mitigar los ataques. Esto también se aplica a nuestro propio equipo interno de analistas de seguridad que mantiene el conjunto de reglas administradas del WAF, lo que nos ha llevado a combinar las firmas escritas por humanos con un enfoque basado en el aprendizaje automático para lograr el mejor equilibrio entre un número bajo de falsos positivos y la velocidad de respuesta.

Las campañas de explotación de CVE de ciberdelincuentes específicos son claramente visibles cuando nos centramos en un subconjunto de categorías de CVE. Por ejemplo, si filtramos las CVE que dan lugar a la ejecución remota de código (RCE), observamos evidentes intentos de explotar las instalaciones de Apache y Adobe a finales de 2023 y a principios de 2024, junto con una importante campaña contra Citrix en mayo de este año.

Figura 4: Número de solicitudes de CVE de ejecución de código al día a nivel mundial

Otras vistas similares son claramente visibles si nos centramos en otras CVE o categorías de ataque específicas.

Los ataques DDoS siguen siendo el tipo de ataque más habitual contra las aplicaciones web, y los ataques DDoS representaron el 37,1 % de todo el tráfico mitigado de las aplicaciones durante el periodo evaluado.

Figura 5: Volumen de ataques DDoS HTTP a lo largo del tiempo

Observamos un gran aumento de los ataques volumétricos en febrero y marzo de 2024. Esto se debió en parte a la mejora de las detecciones implementadas por nuestros equipos, así como al aumento de la actividad relacionada con ataques. Solo en el primer trimestre de 2024, las soluciones de protección automatizada de Cloudflare mitigaron 4,5 millones de ataques DDoS únicos, una cantidad equivalente al 32 % de todos los ataques DDoS mitigados por Cloudflare en 2023. En concreto, los ataques DDoS HTTP a la capa de aplicación aumentaron un 93 % respecto al año anterior y un 51 % en términos intertrimestrales.

Cloudflare correlaciona el tráfico de ataques DDoS y define ataques únicos observando las horas de inicio y finalización de los incidentes junto con el destino objetivo.

Los motivos de los ataques DDoS van desde intentar obtener beneficios económicos (un rescate) atacando a organizaciones específicas, probar la capacidad de las botnets, u objetivos políticos atacando a instituciones y países. Por ejemplo, Cloudflare observó un aumento del 466 % de los ataques DDoS contra Suecia tras su incorporación a la alianza de la OTAN el 7 de marzo de 2024. Esto reflejó el patrón de DDoS observado durante la aceptación de Finlandia en la OTAN en 2023. El tamaño de los propios ataques DDoS también va en aumento.

En agosto de 2023, Cloudflare mitigó un ataque DDoS hipervolumétrico HTTP/2 Rapid Reset que alcanzó un máximo de 201 millones de solicitudes por segundo (rps), tres veces mayor que cualquier ataque observado hasta esa fecha. En el ataque, los ciberdelincuentes explotaron una vulnerabilidad de día cero en el protocolo HTTP/2 que tenía el potencial de incapacitar casi cualquier servidor o aplicación compatible con HTTP/2. Esto subraya la gran amenaza que suponen las vulnerabilidades DDoS para las organizaciones desprotegidas.

Las empresas de videojuegos y apuestas fueron el sector más afectado por los ataques DDoS, seguidas de las empresas de tecnología de Internet y la criptominería.

Figura 6: Mayores ataques DDoS HTTP observados por Cloudflare, por año

Cloudflare ha seguido invirtiendo mucho en nuestros sistemas de detección de bots. A principios de julio, declaramos la independencia de la IA para ayudar a garantizar la seguridad de Internet a los creadores de contenido, ofreciendo un nuevo "botón fácil" para bloquear todos los bots de IA. Está disponible para todos los clientes, incluidos los de nuestro plan gratuito.

También se han realizado importantes avances en otros sistemas complementarios, como nuestra solución Turnstile, una alternativa a CAPTCHA fácil de usar y que garantiza la privacidad.

Todos estos sistemas y tecnologías nos ayudan a identificar y diferenciar mejor el tráfico humano del tráfico de bots automatizados.

El 31,2 % de todo el tráfico de las aplicaciones procesado por Cloudflare es tráfico de bots. Este porcentaje se ha mantenido relativamente constante (alrededor del 30 %) durante los últimos tres años.

El término "tráfico de bots" puede tener una connotación negativa, pero en realidad el tráfico de bots no es necesariamente bueno o malo; todo depende de la finalidad de los bots. Algunos son "buenos" y prestan un servicio necesario, como los bots de chat de atención al cliente y los rastreadores de motores de búsqueda autorizados. Sin embargo, algunos bots hacen un uso indebido de un producto o servicio en línea y es necesario bloquearlos.

Los criterios sobre lo que se considera un bot "malo" pueden diferir entre distintos propietarios de aplicaciones. Por ejemplo, es posible que algunas organizaciones quieran bloquear un bot de apropiación de contenido que implementa un competidor para batir sus precios, mientras que la apropiación de contenido puede no resultar preocupante para una organización que no se dedique a la venta de productos o servicios. Cloudflare clasifica los bots conocidos y buenos como "bots verificados".

Los bots no verificados suelen crearse con fines disruptivos y dañinos, como acumular inventario, lanzar ataques DDoS o intentar apropiarse de una cuenta mediante la fuerza bruta o el relleno de credenciales. Los bots verificados son aquellos que se sabe que son seguros, como los rastreadores de los motores de búsqueda, y Cloudflare tiene como objetivo verificar a todos los principales operadores de bots legítimos. Puedes encontrar una lista de todos los bots verificados en nuestra documentación.

Los atacantes que aprovechan los bots se centran principalmente en los sectores que podrían aportarles grandes beneficios económicos. Por ejemplo, los sitios web de bienes de consumo suelen ser el objetivo de ataques de acumulación de inventario y extracción de precios lanzados por competidores o por aplicaciones automatizadas cuyo objetivo es explotar algún tipo de arbitraje (por ejemplo, bots de zapatillas deportivas). Este tipo de abuso puede tener un impacto financiero importante para la organización afectada.

Figura 8: Sectores con el mayor porcentaje medio diario de tráfico de bots

Los consumidores y usuarios finales siguen esperando experiencias web y móviles dinámicas, basadas en las API. Para las empresas, las API maximizan las ventajas competitivas: mayor inteligencia comercial, implementaciones en la nube más rápidas, integración de nuevas funciones de IA y mucho más.

Sin embargo, las API introducen nuevos riesgos al proporcionar a terceros superficies de ataque adicionales con las que acceder a las aplicaciones y a las bases de datos, que también deben protegerse. Como consecuencia, numerosos ataques que observamos ahora tienen como primer objetivo los puntos finales de AP en lugar de las interfaces web tradicionales.

Por supuesto, los problemas de seguridad adicionales no están ralentizando la adopción de las aplicaciones que priorizan las API.

Representa un aumento de dos puntos porcentuales en comparación con el informe del año pasado. De este 60 %, nuestros sistemas de seguridad mitigan alrededor del 4 % de media.

Figura 9: Porcentaje de tráfico de API mitigado

Entre el 11 y el 17 de enero se observa un pico importante que representa un aumento de casi el 10 % del porcentaje de tráfico solo durante ese periodo. Esto se debió a que una zona de cliente específica recibió tráfico de ataque que fue mitigado por una regla personalizada del WAF.

Si analizamos las fuentes de mitigación del tráfico de API, observamos que el WAF es el que más contribuye, ya que la carga malintencionada estándar suele aplicarse tanto a los puntos finales de API como a las aplicaciones web estándar.

Figura 10: Tráfico mitigado de API desglosado por grupo de productos

No puedes proteger lo que no puedes ver. Además, muchas organizaciones carecen de inventarios de API precisos, incluso cuando creen que pueden identificar correctamente el tráfico de API.

Con nuestro modelo de aprendizaje automático propio, que analiza no solo las llamadas API conocidas, sino todas las solicitudes HTTP (identificando el tráfico de API que es posible que no se esté teniendo en cuenta), descubrimos que las organizaciones tenían un 33 % más de puntos finales de API disponibles al público de lo que creían. Esta cifra era la media, y se calculó comparando el número de puntos finales de API detectados mediante el descubrimiento basado en el aprendizaje automático frente a los identificadores de sesión proporcionados por los clientes.

Esto sugiere que casi una cuarta parte de las API son "API paralelas" y que es posible que no estén debidamente inventariadas y protegidas.

Las aplicaciones web de la mayoría de las organizaciones se basan en programas o fragmentos de código independientes de proveedores externos (normalmente en JavaScript). El uso de scripts de terceros acelera el desarrollo de aplicaciones web modernas y permite a las organizaciones acelerar el lanzamiento de funciones al mercado, sin tener que desarrollar internamente todas las nuevas funciones de las aplicaciones.

Con el producto de seguridad del lado cliente de Cloudflare, Page Shield, podemos ver el nivel de popularidad de las bibliotecas de terceros utilizadas en Internet y el riesgo que suponen para las organizaciones. Recientemente, este hecho se hizo más evidente debido al incidente de Polyfill.io que afectó a más de cien mil sitios.

El cliente empresarial típico de Cloudflare utiliza un promedio de 47 scripts de terceros, y una mediana de 20 scripts de terceros. El promedio es mucho más alto que la mediana debido a los proveedores de SaaS, que a menudo tienen miles de subdominios que pueden utilizar scripts de terceros. Estos son algunos de los principales proveedores de scripts de terceros que los clientes de Cloudflare utilizan habitualmente:

• Google (Tag Manager, Analytics, Ads, Translate, reCAPTCHA, YouTube)

• Meta (Facebook Pixel, Instagram)

• Cloudflare (Web Analytics)

• jsDelivr

• New Relic

• Appcues

• Microsoft (Clarity, Bing, LinkedIn)

• jQuery

• WordPress (Web Analytics, complementos alojados)

• Pinterest

• UNPKG

• TikTok

• Hotjar

Aunque es útil, las dependencias de software de terceros a menudo las carga directamente el navegador del usuario final (es decir, se cargan en el lado del cliente), lo que pone en riesgo a las organizaciones y a sus clientes, ya que las organizaciones no tienen un control directo sobre sus medidas de seguridad. Por ejemplo, en el sector del comercio minorista, el 18 % de todas las fugas de datos se originan en ataques de tipo Magecart, según el informe 2024 Data Breach Investigations de Verizon.

Cargar un script de terceros en tu sitio web conlleva riesgos, más aún cuando ese script "llama a casa" para enviar datos a fin de realizar la función prevista. Un ejemplo típico aquí es Google Analytics: cada vez que un usuario realiza una acción, el script de Google Analytics enviará datos a los servidores de Google. Identificamos estas acciones como conexiones.

De promedio, cada sitio web empresarial se conecta a 50 destinos de terceros distintos, con una mediana de 15. Cada una de estas conexiones también supone un riesgo potencial para la seguridad del lado del cliente, ya que los atacantes suelen utilizarlas para exfiltrar datos adicionales sin ser detectados.

Estas son algunas de las principales conexiones de terceros que los clientes de Cloudflare utilizan habitualmente:

• Google (Analytics, Ads)

• Microsoft (Clarity, Bing, LinkedIn)

• Meta (Facebook Pixel)

• Hotjar

• Kaspersky

• Sentry

• Criteo

• tawk.to

• OneTrust

• New Relic

• Paypal

Este informe sobre la seguridad de las aplicaciones también está disponible en formato PDF, e incluye recomendaciones adicionales sobre cómo abordar muchos de los problemas planteados, junto con información adicional.

También publicamos muchos de nuestros informes con gráficos dinámicos en Cloudflare Radar, por lo que son un excelente recurso para mantenerse al día del estado de Internet.