Con motivo de la celebración del 8º aniversario del proyecto Galileo, queremos ofrecer una visión que permita conocer el tipo de ciberataques que sufren las organizaciones que protegemos en el marco del proyecto. En un año lleno de nuevos retos para muchos, esperamos que el análisis de los ataques contra estos grupos vulnerables proporcione a los investigadores, a la sociedad civil y a las organizaciones elegidas como blanco de ataques información sobre cómo proteger mejor a quienes trabajan en estos ámbitos.
En este blog, queremos centrarnos en los ataques que hemos observado contra organizaciones en Ucrania, incluido el crecimiento significativo de la actividad de ataques DDoS tras el inicio del conflicto. En el panel de control Radar, analizaremos en detalle las tendencias de los ataques contra los participantes del proyecto Galileo en ámbitos como los derechos humanos, el periodismo y las organizaciones sin ánimo de lucro dirigidas por comunidades.
Para leer el informe completo, visita el panel de control Radar del 8º aniversario del proyecto Galileo.
Cómo interpretar los datos
Para este panel de control, hemos analizado los datos de 1 900 organizaciones de todo el mundo que están protegidas en el marco del proyecto durante el periodo que abarca del 1 de julio de 2021 al 5 de mayo de 2022.
En el caso de los ataques DDoS, los clasificamos como tráfico que, según hemos determinado, forma parte de un ataque DDoS a la capa 7 (capa de aplicación). Estos ataques son a menudo inundaciones malintencionadas de solicitudes concebidas para saturar un sitio con la intención de interrumpir su conexión. Bloqueamos las solicitudes asociadas al ataque, garantizando que las solicitudes legítimas lleguen al sitio, y que este permanezca en línea.
En cuanto al tráfico mitigado por el firewall de aplicaciones web, se trata del tráfico que resultó ser malintencionado y que el firewall de Cloudflare bloqueó. Proporcionamos servicios gratuitos de nivel empresarial en el marco del proyecto Galileo, y nuestro firewall de aplicaciones web (WAF) es una de las herramientas útiles para mitigar los intentos de explotar las vulnerabilidades destinadas a obtener acceso no autorizado a las aplicaciones en línea de una organización.
Para los gráficos que representan los cambios en el tráfico o los dominios en el marco del proyecto Galileo, utilizamos el tráfico diario promedio (número de solicitudes) de las dos primeras semanas de julio de 2021 como línea de base.
Aspectos más destacados del año pasado
Continuamos observando un aumento de los ciberataques, de hecho se registraron casi 18 000 millones de ataques entre julio de 2021 y mayo de 2022. Este dato supone una media de casi 57,9 millones de ciberataques al día durante los últimos nueve meses, un incremento de casi el 10 % respecto al año pasado.
El tráfico DDoS mitigado contra organizaciones de Ucrania alcanzó hasta el 90 % del tráfico total durante un importante ataque registrado en abril.
Tras el inicio de la guerra en Ucrania, las solicitudes al proyecto aumentaron un 177 % en marzo de 2022.
El tráfico de las organizaciones en los ámbitos del periodismo y medios de comunicación de Europa y América creció prácticamente un 150 % durante el último año.
Observamos una serie de ciberataques poco sofisticados contra organizaciones que trabajan en derechos humanos y periodismo. Hasta el 40 % de las solicitudes mitigadas por el WAF se clasificaron como anomalías del protocolo HTTP, la más destacada de cualquier tipo de regla del WAF, un tipo de ataque que puede ser perjudicial para las organizaciones sin protección, pero que Cloudflare bloquea automáticamente.
Desde julio de 2021 hasta mayo de 2022, las organizaciones con sede en Europa representaron de forma sistemática entre la mitad y dos tercios del tráfico de solicitudes de todas las regiones cubiertas por el proyecto.
Cobertura mundial del proyecto Galileo
Protección de organizaciones en Ucrania
Cuando comenzó la guerra en Ucrania, observamos un aumento en las solicitudes de organizaciones que buscaban nuestra ayuda para participar en el proyecto Galileo. Muchas de estas solicitudes llegaron cuando estaban siendo blanco de ataques DDoS. Sin embargo, también nos encontramos con sitios que estaban recibiendo grandes flujos de tráfico de personas sobre el terreno en Ucrania que intentaban acceder a información debido a la invasión rusa. Si bien el tráfico de las organizaciones en Ucrania era prácticamente nulo antes del comienzo de la guerra, desde entonces, el aumento del tráfico se ha debido sobre todo a las organizaciones que trabajan en los ámbitos del periodismo y los medios de comunicación.
Antes de la guerra, las organizaciones que se dedican al desarrollo de comunidades y el bienestar social, como las que prestan asistencia directa a los refugiados o proporcionan plataformas de donación para ayudar a los ucranianos, eran las responsables del poco tráfico mitigado a través del WAF. Sin embargo, tras el inicio de la guerra, el WAF mitigó sobre todo el tráfico de las organizaciones de periodismo. De hecho, se observaron picos frecuentes, incluido uno el 13 de marzo que representó el 69 % del tráfico. Durante este periodo, que empezó a finales de febrero cuando se observó un aumento de las solicitudes mitigadas a través del WAF, la mayoría de los ataques se clasificaron como inyección de código SQL (SQLi). El tráfico de las organizaciones de derechos humanos que se mitigó a través del WAF aumentó a mediados de marzo, llegando a representar entre el 5-10 % del tráfico.
El tráfico DDoS mitigado para diferentes organizaciones en Ucrania se concentró en el periodo que abarca desde mediados de marzo hasta mayo, cuando se observó un rápido crecimiento en el porcentaje de este tipo de ataques. Los primeros picos se situaron en el rango del 20 %, pero crecieron con rapidez antes de retroceder, incluido un ataque el 19 de abril que representó más del 90 % del tráfico ese día.
Desde el inicio de la guerra, el crecimiento del tráfico de las organizaciones protegidas ha variado según distintas categorías. Entre finales de marzo y finales de abril, el tráfico de las organizaciones sanitarias aumentó entre 20-30 veces respecto a la línea de base. Dejando de lado los picos de ataque, el tráfico de las organizaciones de periodismo se triplicó e incluso se cuadruplicó respecto a la línea de base. El crecimiento en las demás categorías fue generalmente inferior a tres veces.
En cuanto al tráfico que se mitigó a través del WAF, la regla que más veces se aplicó fue la de la anomalía del protocolo HTTP, asociada al 92 % de las solicitudes. Las solicitudes de contenido web (solicitudes HTTP) tienen una estructura prevista, un conjunto de encabezados y valores relacionados. Algunos atacantes envían solicitudes con formato incorrecto, incluidas anomalías tales como la falta de encabezados, métodos de solicitud no compatibles, uso de puertos no estándar o codificación de caracteres no válida. Estas solicitudes se clasifican como "anomalías del protocolo HTTP" y suelen estar asociadas a ataques poco sofisticados que el WAF de Cloudflare bloquea de manera automática.
Durante la guerra, seguimos incorporando y proporcionando protección a las organizaciones de Ucrania y los países vecinos para garantizar que tengan acceso a la información. Cualquier organización ucraniana que esté siendo blanco de un ataque puede solicitar protección gratuita en el marco del proyecto Galileo en la página web www.cloudflare.com/es-es/galileo. Nosotros nos encargaremos de agilizar la revisión y la aprobación de solicitudes.
Métodos de ataque por región
En las regiones de América, Asia-Pacífico, Europa y África/Oriente Medio, la mayor proporción (28 %) de las solicitudes mitigadas se clasificaron como "anomalías del protocolo HTTP". El 20 % de las solicitudes mitigadas se identificaron como intentos de inyección de código SQL y casi el 13 % fueron intentos de explotar vulnerabilidades y exposiciones comunes (CVE) específicas. Las CVE son vulnerabilidades de ciberseguridad divulgadas públicamente. Cloudflare supervisa las nuevas vulnerabilidades y determina rápidamente cuáles requieren conjuntos de reglas adicionales para proteger a nuestros usuarios. En función de la vulnerabilidad, pueden ser ataques sofisticados, pero dependen de la gravedad, la identificación y la respuesta de los profesionales de la seguridad.
En nuestro informe anterior, identificamos tendencias de ataque similares con SQLi y anomalías del protocolo HTTP, clasificadas como anomalías de agente de usuario, que representan una buena parte de las solicitudes mitigadas.
Métodos de ataque por tipo de organización
Protegemos una serie de organizaciones en el marco del proyecto Galileo, que clasificamos en 6 grupos en este panel de control: desarrollo de comunidades/bienestar social, educación, medio ambiente/ayuda en caso de desastre, derechos humanos y periodismo. Para ayudar a entender las amenazas contra estos grupos, desglosamos los tipos de ataques que mitigó el firewall de aplicaciones web. La mayor parte del tráfico mitigado procede de anomalías del protocolo HTTP y SQLi.
SQLi es una técnica de ataque diseñada para modificar o recuperar datos de las bases de datos SQL. Mediante la inserción de instrucciones SQL especializadas en un campo de formulario, los atacantes intentan ejecutar comandos que permiten la recuperación y alteración de datos de la base de datos, la destrucción de datos confidenciales u otras manipulaciones.
Descubre más información sobre el panel de control Radar de nuestro 8º aniversario. Consulta el informe completo sobre las tendencias de ataque contra distintas organizaciones protegidas en el marco del proyecto Galileo.