Informe sobre las amenazas DDoS en el 2º trimestre de 2024

Te damos la bienvenida a la 18.ª edición del informe de Cloudflare sobre las amenazas DDoS. Estos informes, que se publican trimestralmente, ofrecen un análisis detallado del panorama de las amenazas DDoS observado en la red de Cloudflare. Esta edición corresponde al 2º trimestre de 2024.

Con una red de 280 TB/s ubicada en más de 230 ciudades de todo el mundo, que protege al 19 % de todos los sitios web, Cloudflare tiene una posición privilegiada que nos permite proporcionar información muy útil y tendencias a la comunidad de Internet en general.

• Cloudflare registró un aumento interanual del 20 % en los ataques DDoS.

• 1 de cada 25 encuestados afirmó que los ataques DDoS de los que fueron víctimas fueron perpetrados por ciberdelincuentes de estado-nación o patrocinados por estados.

• Las capacidades de los ciberdelincuentes alcanzaron un nivel sin precedentes, ya que nuestros sistemas de protección automatizados generaron 10 veces más huellas digitales para contrarrestar y mitigar los ataques DDoS ultrasofisticados.

Consulta la versión interactiva de este informe en Cloudflare Radar.

Antes de entrar en detalle, recapitulemos qué es un ataque DDoS. Un ataque DDoS, abreviatura de denegación de servicio distribuido es un tipo de ciberataque que tiene como objetivo desconectar o interrumpir servicios de Internet, tales como sitios web o aplicaciones móviles, para impedir que los usuarios accedan a ellos. Los ataques DDoS suelen inundar el servidor de la víctima con más tráfico del que puede procesar, normalmente procedente de numerosas fuentes en Internet, lo que impide que pueda gestionar el tráfico legítimo de los usuarios.

Diagrama de un ataque DDoS

Para obtener más información sobre los ataques DDoS y otros tipos de ciberamenazas, visita nuestro Centro de aprendizaje, accede a informes anteriores sobre las amenazas DDoS en el blog de Cloudflare o visita nuestro centro interactivo, Cloudflare Radar. También hay una API gratuita para aquellos interesados en investigar estas y otras tendencias Internet.

Para más información sobre la preparación de nuestros informes, consulta nuestras metodologías.

En el 1.er semestre de 2024, mitigamos 8,5 millones de ataques DDoS, en concreto, 4,5 millones en el 1.er trimestre y 4 millones en el 2º trimestre. En general, el número de ataques DDoS en el 2º trimestre disminuyó un 11 % en términos intertrimestrales, pero aumentó un 20 % respecto al mismo periodo del año pasado.

Distribución de los ataques DDoS por tipos y vectores

Para poner en contexto, en 2023, mitigamos 14 millones de ataques DDoS, y a mediados de 2024, ya hemos mitigado el 60 % de la cifra del año pasado.

Cloudflare logró mitigar 10,2 billones de solicitudes DDoS HTTP y 57 petabytes de tráfico de ataque DDoS a la capa de red, lo que impidió que llegara al servidor de origen de nuestros clientes.

Estadísticas de ataques DDoS en el 2º trimestre de 2024

Si lo desglosamos más, esos 4 millones de ataques DDoS comprendían 2,2 millones de ataques DDoS a la capa de red y 1,8 millones de ataques DDoS HTTP. Este número de 1,8 millones de ataques DDoS HTTP se ha normalizado para compensar el auge de ataques DDoS HTTP sofisticados y aleatorios. Nuestros sistemas de mitigación automatizados generan huellas digitales en tiempo real para los ataques DDoS, y debido a la naturaleza aleatoria de estos ataques sofisticados, observamos que se generaban muchas huellas digitales para ataques individuales. El número real de huellas digitales generadas se acercó a los 19 millones, más de diez veces la cifra normalizada de 1,8 millones. Los millones de huellas digitales que se generaron para hacer frente a la aleatoriedad procedían de unas pocas reglas únicas. Estas reglas hacían su trabajo para detener los ataques, pero inflaron los números, así que las excluimos del cálculo.

Ataques DDoS HTTP por trimestre, sin incluir las huellas digitales

Esta diferencia de diez veces subraya el cambio drástico en el panorama de las amenazas. Las herramientas y las capacidades que permitían a los ciberdelincuentes llevar a cabo estos ataques aleatorios y sofisticados se asociaban anteriormente con capacidades exclusivas de los atacantes de estado-nación o patrocinados por estados. Sin embargo, coincidiendo con el auge de la IA generativa y los sistemas de piloto automático que pueden ayudar a los ciberdelincuentes a escribir mejor código más rápido, estas capacidades han llegado al ciberdelincuente común.

En mayo de 2024, el porcentaje de clientes de Cloudflare víctimas de ataques que informaron haber recibido amenazas de ataques DDoS o haber sido objeto de un ataque DDoS de rescate alcanzó el 16 %, el más alto de los últimos 12 meses. El trimestre comenzó a niveles relativamente bajos, cuando un 7 % de clientes denunció una amenaza o un ataque de rescate. Esta cifra aumentó al 16 % en mayo y descendió ligeramente al 14 % en junio.

Porcentaje de clientes que han denunciado amenazas o extorsión de rescate DDoS (por mes)

En general, los ataques DDoS de rescate han aumentado en términos intertrimestrales durante el último año. En el 2º trimestre de 2024, el porcentaje de clientes que denunciaron haber sido amenazados o extorsionados fue del 12,3 %, un porcentaje ligeramente superior al del trimestre anterior (10,2 %), pero similar al del mismo periodo de 2023 (también del 12 %).

Porcentaje de clientes que han denunciado amenazas o extorsión de rescate DDoS (por trimestre)

El 75 % de los encuestados declaró que no sabían quién les había atacado ni por qué. Estos encuestados son clientes de Cloudflare que fueron blanco de ataques DDoS HTTP.

De los encuestados que afirman que sí lo sabían, el 59 % mencionó que fue un competidor quien les atacó. Otro 21 % manifestó que el ataque DDoS fue llevado a cabo por un cliente o usuario insatisfecho, y otro 17 % mencionó que los ataques fueron llevados a cabo por ciberdelincuentes de estado-nación o patrocinados por estados. El 3 % restante informó de que se trataba de un ataque DDoS autoinfligido.

Porcentaje del tipo de ciberdelincuente notificado por los clientes de Cloudflare, sin incluir los atacantes desconocidos y los valores atípicos

En el 2º trimestre de 2024, China fue clasificada como el país más afectado del mundo. Esta clasificación tiene en cuenta los ataques DDoS HTTP, los ataques DDoS a la capa de red, el volumen total y el porcentaje de tráfico de ataques DDoS sobre el tráfico total. Los gráficos muestran esta actividad global de ataques DDoS por país o región. Una barra más larga en el gráfico significa mayor actividad de ataque.

Después de China, Turquía ocupó el segundo lugar, seguido de Singapur, Hong Kong, Rusia, Brasil y Tailandia. Los países y regiones restantes que componen los 15 países más afectados se muestran en el gráfico siguiente.

Los 15 países y regiones más afectados en el 2º trimestre de 2024

El sector de las tecnologías y los servicios de la información fue clasificado como el sector más afectado en el 2º trimestre de 2024. Las metodologías de clasificación que hemos utilizado aquí siguen los mismos principios que se han descrito anteriormente para simplificar el volumen total y el tráfico de ataque relativo tanto para los ataques DDoS HTTP como para los de la capa de red, en una única clasificación de la actividad de ataque DDoS.

El sector de telecomunicaciones, proveedores de servicios y operadores ocupó el segundo lugar. Los bienes de consumo ocuparon el tercer lugar.

Los 15 sectores más afectados en el 2º trimestre de 2024

Cuando analizamos solo los ataques DDoS HTTP, observamos un panorama diferente. Los videojuegos y las apuestas fueron los peor parados en términos de volumen de solicitudes de ataques DDoS HTTP. A continuación se proporciona el desglose por región.

Principales sectores afectados por región (ataques DDoS HTTP)

Argentina fue el principal origen de ataques DDoS en el 2º trimestre de 2024. Las metodologías de clasificación que hemos utilizado aquí siguen los mismos principios que se han descrito anteriormente para simplificar el volumen total y el tráfico de ataque relativo tanto para los ataques DDoS HTTP como para los de la capa de red, en una única clasificación de la actividad de ataque DDoS.

Indonesia ocupó el segundo lugar, seguida de los Países Bajos en tercer lugar.

Los 15 principales orígenes de ataques DDoS en el 2º trimestre de 2024

A pesar de una disminución del 49 % en términos intertrimestrales, los ataques DDoS contra los DNS siguen siendo el vector de ataque más común, con un porcentaje combinada del 37 % de inundaciones DNS y ataques de amplificación de DNS. Las inundaciones SYN ocuparon el segundo lugar con el 23 %, seguidas de las inundaciones RST, que representaron algo más del 10 %. Las inundaciones SYN y las inundaciones RST son tipos de ataques DDoS contra el protocolo TCP. En conjunto, todos los tipos de ataques DDoS contra el protocolo TCP representaron el 38 % de todos los ataques DDoS a la capa de red.

Principales vectores de ataque (a la capa de red)

Una de las ventajas de operar una red grande es que vemos mucho tráfico y ataques. Ello nos permite mejorar nuestros sistemas de detección y mitigación para proteger a nuestros clientes. En el último trimestre, la mitad de todos los ataques DDoS HTTP se mitigaron utilizando heurísticas propias dirigidas a botnets conocidas por Cloudflare. Estas heurísticas guían a nuestros sistemas sobre cómo generar una huella digital en tiempo real para compararla con los ataques.

Otro 29 % fueron ataques DDoS HTTP que utilizaron agentes de usuario falsos, suplantaron navegadores o procedían de navegadores sin interfaz gráfica. Otro 13 % tenía atributos HTTP sospechosos que activaron nuestro sistema automatizado, y el 7 % se identificó como inundación genérica. Una cosa a tener en cuenta es que estos vectores de ataque, o grupos de ataque, no son necesariamente excluyentes. Por ejemplo, las botnets conocidas también se hacen pasar por navegadores y tienen atributos HTTP sospechosos, pero este desglose es nuestro primer intento de categorizar los ataques DDoS HTTP.

Principales vectores de ataque (HTTP)

En el 2º trimestre, aproximadamente la mitad de todo el tráfico web utilizó HTTP/2, el 29 % utilizó HTTP/1.1, una quinta parte utilizó HTTP/3, prácticamente el 0,62 % utilizó HTTP/1.0, y el 0,01 % utilizó HTTP/1.2.

Distribución del tráfico web por versión de HTTP

Los ataques DDoS HTTP siguen un patrón similar en términos de adopción de versiones, aunque con un mayor sesgo hacia HTTP/2. El 76 % del tráfico de ataque DDoS HTTP se basó en HTTP/2 y casi el 22 % en HTTP/1.1. El uso HTTP/3, por otro lado, fue mucho menor. Solo el 0,86 % de los ataques de tráfico DDoS HTTP se basaron en HTTP/3, en comparación con su adopción del 20 % por todo el tráfico web.

Distribución del tráfico de ataque DDoS HTTP por versión HTTP

La gran mayoría de los ataques DDoS son breves. Más del 57 % de los ataques DDoS HTTP y el 88 % de los ataques DDoS a la capa de red finalizan en 10 minutos o menos. Estos datos ponen de relieve la necesidad de sistemas automatizados de detección y mitigación en línea. Diez minutos no es tiempo suficiente para que un humano responda a una alerta, analice el tráfico e implemente mitigaciones manuales.

En el otro lado de los gráficos, podemos ver que aproximadamente una cuarta parte de los ataques DDoS HTTP duran más de una hora, y casi una quinta parte dura más de un día. En la capa de red, los ataques más largos son significativamente menos comunes. Solo el 1 % de los ataques DDoS a la capa de red duran más de 3 horas.

Ataques DDoS HTTP: distribución por duración

Ataques DDoS a la capa de red: distribución por duración

La mayoría de los ataques DDoS son relativamente pequeños. Más del 95 % de los ataques DDoS a la capa de red se mantienen por debajo de los 500 MB/s, y el 86 % por debajo de los 50 000 paquetes por segundo.

Distribución de los ataques DDoS a la capa de red por velocidad de bits

Distribución de los ataques DDoS a la capa de red por velocidad de paquetes

Del mismo modo, el 81 % de los ataques DDoS HTTP se mantienen por debajo de las 50 000 solicitudes por segundo. Aunque estas velocidades son pequeñas en la escala de Cloudflare, pueden ser devastadoras para los sitios web desprotegidos que no están acostumbrados a tales niveles de tráfico.

Distribución de los ataques DDoS HTTP por tasa de solicitudes

A pesar de que la mayoría de los ataques son pequeños, el número de ataques volumétricos de mayor tamaño ha aumentado. Uno de cada 100 ataques DDoS a la capa de red supera el millón de paquetes por segundo (pps), y dos de cada 100 superan los 500 GB/s. En la capa 7, cuatro de cada 1000 ataques DDoS HTTP superan el millón de solicitudes por segundo.

La mayoría de los ataques DDoS son pequeños y rápidos. Sin embargo, incluso estos ataques pueden interrumpir los servicios en línea que no siguen las prácticas recomendadas de la protección contra DDoS.

Además, la sofisticación de los ciberdelincuentes está aumentando, quizás debido a la disponibilidad de la IA generativa y las herramientas copiloto de los desarrolladores, lo que se traduce en un código de ataque que lanza ofensivas DDoS contra las que es más difícil protegerse. Incluso antes del aumento de la sofisticación de los ataques, muchas organizaciones luchaban por defenderse contra estas amenazas por sí mismas. Pero no es necesario. Cloudflare está aquí para ayudarte. Invertimos importantes recursos, para que tú no tengas que hacerlo, para garantizar que nuestras defensas automatizadas, junto con toda la cartera de productos de seguridad de Cloudflare, protejan contra las amenazas existentes y emergentes.