theNet by CLOUDFLARE

Los riesgos que conllevan los pequeños ataques DDoS

Datos del último informe sobre DDoS

Cloudflare ha observado y mitigado un número enorme de ataques DDoS contra la infraestructura de red. Aunque algunos de estos ataques fueron bastante grandes, la mayoría fueron pequeños y breves. Esta tendencia se ha mantenido constante, a pesar de la fluctuación en el número total de ataques, y también en la mayor o menor popularidad de los distintos protocolos de la capa de red entre los ciberdelincuentes.

Aunque la perspectiva de ataques DDoS pequeños y breves pueda parecer alentadora, estos ataques pueden dañar las redes desprotegidas o infraprotegidas. También pueden permitir a los ciberdelincuentes poner a prueba los sistemas de protección de una organización y distraer a los equipos de seguridad de otras amenazas más graves.

¿Qué tendencias y tácticas son el origen de la popularidad de los ataques DDoS más pequeños? ¿Y qué deben hacer las organizaciones para responder a ellos?


Aumentan los ataques DDoS más pequeños

Los ataques DDoS están diseñados para explotar los cuellos de botella de la infraestructura informática de una organización y de las aplicaciones que reciben el tráfico. Aunque existen muchos tipos de ataques DDoS, la mayoría utiliza una de estas dos técnicas:

  • Grandes volúmenes de paquetes: cualquier servidor o aplicación puede procesar un número limitado de solicitudes simultáneas. Si se superan estos límites, es posible degradar o destruir la capacidad de las aplicaciones para procesar solicitudes legítimas.

  • Grandes volúmenes de datos: los enlaces de red, los servidores y las aplicaciones también pueden transmitir o procesar una cantidad limitada de datos. Si se superan estas limitaciones de ancho de banda, el sistema también puede dejar de funcionar.

La imagen siguiente, basada en los datos del cuarto trimestre de 2021 de la red de Cloudflare, muestra que la gran mayoría de los ataques no intentaron utilizar la primera técnica. Durante estos tres meses, más del 98 % de los ataques DDoS tuvieron velocidades de 1 millón de paquetes por segundo (pps) o inferiores, una tendencia coherente con los resultados de trimestres anteriores.

Como referencia, un ataque DDoS a gran escala contra GitHub en 2018 alcanzó velocidades de 129,6 millones de paquetes por segundo. En el cuarto trimestre de 2021, solo el 2 % de los ataques DDoS alcanzaron una décima parte de este tamaño, lo que indica que la mayoría de los ciberdelincuentes están realizando ataques DDoS con volúmenes de paquetes más pequeños.

El gráfico siguiente demuestra que la mayoría de los ataques DDoS de capa 3/4 del cuarto trimestre tampoco intentaban sobrecargar a sus objetivos con volúmenes masivos de datos. De hecho, el 97 % de todos los ataques transportaron menos de medio gigabyte de datos por segundo.

Los autores de ataques DDoS ya no utilizan las mismas tácticas que eran habituales en el pasado. La razón es que los ataques más pequeños y breves pueden proporcionarles diversas ventajas.


¿Por qué son tan frecuentes estos ataques más pequeños y breves?

La prevalencia de ataques más pequeños puede parecer inusual porque indica que los autores de ataques DDoS no están utilizando todas sus capacidades. Sin embargo, hay muchas razones por las que estos ataques más pequeños y breves son ahora más habituales.

Razón 1: el auge de los servicios de DDoS por encargo

En los últimos años, las plataformas de servicios de DDoS por encargo se han hecho cada vez más populares. En estas plataformas, también conocidas como "agentes estresantes", es posible alquilar una botnet DDoS existente para realizar un ataque contra una organización objetivo que el cliente elija.

En un sitio de servicios de DDoS por encargo, un ataque breve y relativamente pequeño es bastante barato, con precios que oscilan entre 5 USD por 5 minutos y 400 USD por un día completo. Puesto que es cada vez más fácil lanzar estos ataques más pequeños, esperamos que su popularidad siga creciendo.

Razón 2: cada vez hay más infraestructura de red vulnerable

Los ciberdelincuentes tienden a centrar sus esfuerzos allí donde pueden causar mayor impacto. Para ello, un método es atacar la infraestructura de red que ya tiene dificultades para gestionar una gran cantidad de tráfico.

Por ejemplo, las soluciones de acceso remoto como las VPN y el RDP. La pandemia del COVID-19 ha obligado a muchas organizaciones a aumentar drásticamente el uso de estos servicios, ya que un gran porcentaje de los empleados teletrabaja. Estos incrementos pueden sobrecargar rápidamente el servicio, como observamos en casos de organizaciones grandes y bien establecidas que deben racionar el uso de la VPN para evitar mayores interrupciones de la red.

Efectivamente, las soluciones de acceso remoto han sido el objetivo de ataques DDoS desde el comienzo de la pandemia. En un ataque de este tipo, el autor puede lanzar un tráfico de ataque comparativamente menor y aun así perturbar la capacidad de la organización objetivo del ataque para gestionar ese tráfico.

Razón 3: preparación para una solicitud de rescate

Si una empresa dispone de una solución de mitigación de DDoS, un ataque pequeño puede tener poco impacto, o ninguno, en la disponibilidad de los servicios para los usuarios legítimos. Sin embargo, estos pequeños ataques pueden no ser el objetivo final del atacante.

En los últimos años, han surgido los ataques DDoS de rescate en los que un atacante amenaza con realizar un ataque DDoS si no se satisface una demanda de rescate. En muchos casos, los grupos que exigen el rescate se hacen pasar por conocidos actores de amenazas como Fancy Bear, Cozy Bear o Lazarus Group para inducir a la víctima a pagar.

Un ataque DDoS a pequeña escala puede utilizarse como paso previo a una exigencia de DDoS de rescate. Al demostrar su capacidad para realizar incluso un pequeño ataque DDoS, el atacante aumenta la probabilidad de que una organización objetivo pague a fin de evitar el riesgo de un ataque DDoS a gran escala.

Razón 4: elusión de los sistemas de mitigación de DDoS existentes

Las primeras soluciones de mitigación de DDoS se diseñaron para identificar y bloquear grandes volúmenes de tráfico. Estos sistemas solo pueden activarse si el volumen de tráfico supera un umbral establecido.

Los ataques DDoS a menor escala pueden eludir los sistemas de protección que proporcionan las soluciones de mitigación de DDoS existentes que se basan en estos umbrales para identificar un ataque potencial. Al permanecer justo por debajo del umbral en el que se activaría el sistema de protección, estos ataques pueden interrumpir las operaciones de las redes objetivo sin necesidad de sobrecargar los sistemas de protección que pueda tener la organización.

Razón 5: exploración de los sistemas de protección de la red

Los ataques DDoS a gran escala pueden ser costosos y requieren importantes recursos. Un ciberdelincuente puede utilizar un ataque DDoS pequeño como operación de reconocimiento de cara a un ataque posterior.

Si una organización dispone de una solución de mitigación de DDoS, un ataque DDoS de pequeño tamaño no tendrá ningún impacto en el rendimiento de la aplicación atacada. Por el contrario, una aplicación desprotegida puede experimentar una latencia cuantificable incluso debido a un ataque DDoS a pequeña escala. Estos ataques más pequeños permiten identificar qué organizaciones tienen sistemas de protección y cuáles no, lo que proporciona información útil para planificar ataques posteriores.

Razón 6: ocultación de otros ataques

Muchos ataques DDoS están diseñados para ser vistos. Si un ataque DDoS logra interrumpir la aplicación de red atacada, esto supone un problema evidente para el equipo de seguridad de una organización, que debe resolverlo. Debido a la importancia de la infraestructura de red para la comunicación con los clientes y el suministro de los servicios, la resolución del ataque es una prioridad.

Por estas razones, los ataques DDoS pueden utilizarse como una "cortina de humo" para otros tipos de ataques que un equipo de seguridad de alertas podría detectar y bloquear. Si una organización está centrada en solucionar el ataque DDoS, puede que no esté prestando atención suficiente para darse cuenta de un intento de fuga de datos o de infiltración de malware en la red. Es posible que un ataque DDoS a pequeña escala no sea suficiente para interrumpir los sistemas de una organización, pero sí para distraer de la amenaza real.


¿Qué riesgos plantean estos pequeños ataques?

Aunque los ataques DDoS más pequeños pueden parecer una amenaza menos inmediata que los de mayor envergadura, siguen planteando a las organizaciones diversos riesgos. En algunos casos, un pequeño ataque puede interrumpir la infraestructura, o al menos perjudicar su rendimiento. Además, los ataques DDoS más pequeños pueden ayudar a los atacantes a buscar vulnerabilidades de seguridad o a distraer a sus objetivos de otros ataques que utilicen métodos totalmente distintos.

Riesgo 1: interrupción de las infraestructuras vulnerables

Las organizaciones que hayan implementado una solución eficaz de mitigación de DDoS estarán protegidas incluso de los ataques DDoS de mayor envergadura. No podemos decir lo mismo de las redes desprotegidas o infraprotegidas, sobre todo si ya están sobrecargadas.

Un pequeño ataque DDoS implica hasta medio gigabyte de datos maliciosos que llegan cada segundo a la infraestructura de red de una organización. La red de una organización puede tener posibles cuellos de botella, como por ejemplo:

  • El ancho de banda de la red

  • Las conexiones TCP abiertas

  • la utilización de la CPU

Si el ataque supera la capacidad de alguno de estos recursos, la red no podrá procesar las solicitudes legítimas.

Riesgo 2: reducción del rendimiento de la red

Cualquier solicitud, legítima o no, a la red de una organización consume recursos. En circunstancias normales, la mayoría de las solicitudes son legítimas, y cualquier solicitud maliciosa tiene un impacto pequeño o insignificante.

Durante un ataque DDoS, en cambio, las solicitudes maliciosas pueden superar en número al tráfico legítimo, a menudo en órdenes de magnitud. Aunque un ataque no interrumpa el servicio objetivo, el aumento de los costes operativos del sitio en órdenes de magnitud puede tener un impacto considerable en los resultados finales de una organización. El coste de procesar las solicitudes de correo no deseado consume recursos informáticos y, si una empresa tiene un servicio de mitigación de DDoS medido, el coste de la protección puede ser elevado.

Riesgo 3: consecuencias posteriores al ataque

El impacto de un ataque DDoS también puede perdurar mucho tiempo después de que se haya completado el ataque. En algunos casos, es posible que un ataque DDoS solo cause que una aplicación no pueda responder a solicitudes legítimas mientras dura el ataque, pero que esta vuelva a la normalidad una vez finalizado. En otros, un ataque puede hacer que las aplicaciones o los servidores se bloqueen, y obligar así a los equipos informáticos a reiniciar las máquinas o el software y a restaurar los datos perdidos (si es posible). En el segundo caso, un ataque pequeño y breve puede tener un impacto prolongado a pesar de su precio relativamente bajo.


¿Qué deben hacer las organizaciones para prepararse ante estos riesgos?

La mejor forma en que una organización puede prepararse para un ataque DDoS es implementando una solución de mitigación de DDoS. Sin embargo, no todas las soluciones de mitigación de DDoS son iguales. Algunas de las principales cualidades que debes buscar son:

  • Protección siempre activa: algunas soluciones de mitigación de DDoS no se activan hasta que el tráfico malicioso alcanza un umbral determinado. Por desgracia, los ataques DDoS a pequeña escala pueden evadir estas soluciones. Una solución de mitigación de DDoS siempre activa proporciona protección continua contra los ataques.

  • Integración de seguridad: los ataques DDoS pueden estar diseñados para actuar como una cortina de humo para otro ataque. Una solución DDoS integrada con otras herramientas de seguridad puede ayudar a identificar el ataque que intenta ocultar un pequeño ataque DDoS.

  • Depuración en el perímetro: enviar todo el tráfico de red a un sistema central para su inspección y depuración aumenta la latencia de la red. Los depuradores deben distribuirse en el perímetro de la red para minimizar el impacto en el rendimiento.

  • Mitigación de DDoS ilimitada: algunos proveedores cobran en función del ancho de banda de la red utilizado en el momento álgido del ataque, lo que puede ser perjudicial en el caso de ataques a gran escala. Busca una solución DDoS que evite los picos de precio.

Los ataques DDoS son cada vez más comunes, y las técnicas de ataque están evolucionando. Están dejando atrás los ataques a gran escala para centrarse en campañas DDoS más pequeñas y breves. Para garantizar una alta disponibilidad y rendimiento de los servicios web, es necesario invertir en una solución de mitigación de DDoS líder.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.


CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Los tipos más habituales de ataques DDoS

  • Las 6 razones del incremento de estos ataques

  • Los 3 principales riesgos asociados

  • La mitigación de DDoS líder


Recursos relacionados


Más información sobre este tema

Lee cómo protege las redes contra los ataques DDoS y al mismo tiempo mejora su rendimiento.

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?