Los ataques DDoS de capa 3/4 siguen aumentando con el confinamiento

Las organizaciones se están esforzando para responder a la "nueva normalidad", un trabajo que implica migrar los servicios a un entorno virtual, atender los picos de tráfico y ofrecer soporte a los trabajadores remotos, el nuevo paradigma del mundo laboral. Sobre la base de la información constatada relativa a los ataques, hemos observado que esta carrera, y la creciente importancia de Internet para nuestro día a día, brinda a los atacantes la oportunidad de aumentar su actividad maliciosa.

Este informe muestra los datos que subyacen a esta tendencia y ofrece sugerencias acerca de cómo responder a este problema.

Los datos globales muestran un aumento de la frecuencia de los ataques y una reducción del tamaño

Sobre la base de los datos constatados acerca de los ataques ocurridos entre abril y junio de 2020, Cloudflare ha identificado las siguientes tendencias:

• El número de ataques DDoS de capa 3/4 que se observaron en nuestra red se duplicó en comparación con los tres primeros meses del año.

• La mayoría de los ataques ocurridos en el segundo trimestre fueron más pequeños, pero no tiene por qué ser una buena señal

• Estados Unidos fue el principal objetivo de los ataques DDoS

El número de ataques DDoS globales de capa 3/4 se duplicó en el segundo trimestre de 2020

Los ataques DDoS dirigidos a las capas 3 y 4, también conocidas como capas de red y transporte del modelo OSI, utilizan funciones en esas dos capas (p.ej. pings a servidor en la capa 3 y paquetes TCP SYN en la capa 4) para saturar a un servidor objetivo con tráfico no deseado.

Al analizar los ataques DDoS de capa 3/4, vimos que el número de ataques se disparó en abril, mayo y junio. Más del 50 % de los ataques de capa 3/4 de este año se produjeron solo en esos dos últimos meses:

En este periodo también ocurrieron algunos de los mayores ataques. El ataque más grande en volumen que Cloudflare evaluó generó 100 gigabits por segundo (Gb/s). De todos los ataques de más de 100 Gb/s que se produjeron en el segundo trimestre de 2020, el 63 % de ellos tuvieron lugar en mayo, lo que supone un aumento significativo de este tipo de ataques voluminosos en comparación con el primer trimestre.

La mayoría de los ataques ocurridos en el segundo trimestre fueron más pequeños, pero no tiene por qué ser una buena señal

Hay diferentes formas de medir el tamaño de un ataque DDoS. Uno es el volumen de tráfico que entrega, medido en velocidad de bits (en concreto, Gigabits por segundo). Otro es el número de paquetes que entrega, medido en tasa de paquetes (en concreto, paquetes por segundo). Los ataques con altas tasas de bits intentan saturar la conexión de Internet, mientras que los ataques con altas tasas de paquetes tratan de sobrecargar los enrutadores u otros dispositivos de hardware en línea.

En abril, mayo y junio, más de la mitad de los ataques generaron menos de 1 Gb/s de tráfico, y prácticamente el 90 % menos de 10 Gb/s. (Esta tendencia coincide con los ataques del primer trimestre de 2020, de los cuales el 92 % generó menos de 10 Gb/s).

Del mismo modo, aproximadamente el 76 % de todos los ataques tuvieron tasas de paquetes inferiores a un millón de pps, un umbral comparativamente bajo.

Estados Unidos fue el principal objetivo de los ataques DDoS de capa 3/4

Cuando analizamos la distribución de los ataques DDoS (capa 3/4) por país, observamos que nuestros centros de datos en Estados Unidos recibieron la mayor cantidad de ataques (22,6 %), seguido por Alemania (4,4 %), Canadá (2,7 %) y Gran Bretaña (2,6 %).

Cómo pueden responder las organizaciones a estas tendencias

En base a estas tendencias, podemos extraer las siguientes conclusiones, tras las que te ofrecemos nuestras recomendaciones para saber responder:

• Los ciberdelincuentes parecen haber aumentado su actividad de DDoS de capa 3/4 con la irrupción de la pandemia de la COVID-19.

  Dado que está previsto que la pandemia continúe durante algún tiempo, las organizaciones deben garantizar que su infraestructura de capa 3 y 4 está preparada para resistir ataques DDoS a largo plazo.

• Los ataques más pequeños pueden ser un problema.

  Un ataque con una tasa de bits inferior a 10 Gbps puede también interrumpir un sitio sin la protección adecuada, al igual que los ataques con una tasa de paquetes inferior. Las organizaciones deben invertir para protegerse de ataques de muchos tamaños.

• Los ataques más pequeños pueden ser la salva inicial de una estrategia más amplia

  en la que los ciberdelincuentes exijan un rescate a las empresas a cambio de no interrumpir el funcionamiento de su propiedad de Internet, o también pueden ser una maniobra para distraer a los equipos de seguridad de otro ataque. Las organizaciones deben asegurarse de que tienen la capacidad necesaria para supervisar su infraestructura a fin de detectar ataques de cualquier tamaño, no solo los ataques grandes que eliminan servidores enteros.

• Los ataques proceden de cualquier parte del mundo.

  Las organizaciones deben invertir en la capacidad de inspeccionar y eliminar de inmediato todo el tráfico de muchos puntos de todo el mundo.

La única respuesta realmente viable a todos estos desafíos es una vasta red en la nube. La protección contra DDoS se realiza mediante un único plano de control, en el perímetro de la red, para detener los ataques lo más cerca posible de su origen. De este modo, los servidores de origen siguen estando seguros y protegidos, tanto si se encuentran en entornos locales como en la nube. Además, el tamaño de la red le permite distribuir el tráfico de los ataques en una gran superficie. Así, ningún centro de datos se ve afectado ni sufre una degradación del rendimiento.

Estas conclusiones se extrajeron de la red de Cloudflare, que abarca más de 200 ciudades en más de 100 países y bloquea más de 72 000 millones de ciberamenazas al día. Gracias a nuestra perspectiva única e integral de todo el panorama de amenazas DDoS, Cloudflare puede recopilar una gran cantidad de información sobre estos ataques generalizados a medida que evolucionan. La red de Cloudflare aprende continuamente de cada ataque y comparte automáticamente la información para prevenir el siguiente ataque. Además, ofrece una protección eficaz contra ataques DDoS a toda tu empresa, sin ralentizar el rendimiento de la red ni de las aplicaciones.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.