El Botnet “Mantis” lanzó nuevos ataques DDoS el pasado 6 de junio de 2022, causando 26 millones de solicitudes por segundo debido a su parecido con la “gamba mantis” pequeña, pero muy potente.

Fuente: Cloudflare

Esto demuestra el potencial daño que puede ocasionar este tipo de ataques, sobre todo cuando están dirigidos a empresas y organizaciones de gran valor estratégico.

Para que veas gráficamente este daño, en la siguiente imagen notarás cómo se incrementaron en Cloudflare las solicitudes de acceso a más de 9 millones por segundo en promedio contra servicios VoIP y propiedades Web de criptomonedas para tratar de colapsarlos.

Solicitudes de acceso a servicios web

Fuente: Cloudflare

Los ataques se han intensificado este año en comparación con el 2021, y después del segundo trimestre del 2022 se nota un incremento preocupante que mantendrá en alerta a muchas empresas proveedoras de tecnología y compañías en general.

Continúa leyendo este artículo para que te enteres de lo que nos depara el futuro sobre los nuevos ataques DDoS y cómo prevenirlos en este 2023.

Tal vez te interese leer – Top 6: Tendencias en ciberseguridad en el 2023

¿Qué es un ataque DDoS?

Para Kaspersky, es un ataque de red distribuido que trata de limitar ciertas capacidades de respuesta en cuanto a recursos de red en una infraestructura tecnológica.

Una Denegación Distribuida de Servicio o DDoS colapsa un servidor o red enviando solicitudes masivas en cortos periodos de tiempo con el objetivo de inhabilitar los sistemas y cualquier servicio adicional mientras persista el ataque.

¿Cómo se ejecuta un ataque DDoS?

Estos ataques usualmente son coordinados a través de botnets (robots de software maliciosos) distribuidos en diversos dispositivos (computadoras, laptops, router, equipos IoT, etc.), que previamente han sido infectados por el malware.

El botnet puede tomar el control de equipo, ya sea convirtiéndolo en un dispositivo zombi, o ejecutándose silenciosamente en un segundo plano donde espera instrucciones para atacar.

Una vez que hay suficientes dispositivos infectados y bajo el control de este botnet, se ejecutan comandos o instrucciones remotamente a través de un hacker o pueden ser rutinas previamente escritas en el robot esperando una fecha o parámetro de ejecución.

Estas instrucciones siempre van dirigidas a colapsar servicios de una empresa u organización con la finalidad de paralizar su funcionamiento. Gráficamente, puedes ver este ataque de la siguiente forma:

Tipos de ataques DDoS

Estos ataques se agrupan en tres tipos principales que se describen a continuación.

Ataques volumétricos.

El objetivo principal es saturar el ancho de banda del servicio atacado enviando una enorme cantidad de tráfico a esa red a través de botnets. Entre los más habituales de este grupo se encuentran:

• Amplificación de DNS. Falsifican la dirección IP del objetivo y envían solicitudes. Una vez que los servidores DNS responden, generan una gran cantidad de tráfico que inunda los servicios de la empresa.
• Inundación ICMP. Estos mensajes del protocolo ICMP son utilizados para ocasionar una sobrecarga del ancho de banda de la red.
• Inundación UDP. Los atacantes emplean paquetes IP que contienen el protocolo de datagrama del usuario (UDP) y logran colapsar los puertos del host.

Ataques de protocolo

El objetivo es el consumo y agotamiento de los recursos físicos de hardware en el servidor y otros equipos. Entre los más habituales están:

• Ping of Death. Envían un paquete de tamaño superior al máximo permitido para provocar una caída en el servidor al que se dirige el ataque. Este envío se hace fragmentado y cuando el servidor intenta unirlo, el tamaño excederá el límite y provoque un desbordamiento de búfer.
• Ataque DDoS Smurf. Se envía un volumen elevado de paquetes ICMP usando una IP de origen falsificada del cliente a una red de servidores mediante una IP de difusión ocasionando respuestas que inundan el origen del tráfico.
• Inundación SYN. Se utiliza un equipo infectado de un cliente desde donde se envía un gran volumen de paquetes SYN sin confirmar. Como el protocolo de control de transmisión (TCP) establece conexiones en varios pasos de confirmación, el servidor queda esperando respuestas lo que ocasiona que se quede sin capacidad para nuevas conexiones legítimas.

Ataques a la capa de aplicación

El objetivo es ocasionar la caída de un servidor web. Es una de las modalidades más fáciles de ejecutar y con mayor complicación en su detección y mitigación. También es comúnmente llamado ataques de capa 7, entre los cuales se pueden observar:

• Inundación HTTP. Ocasiona un efecto de refrescamiento constante en los equipos que accedan a esa web, lo que ocasiona un elevado número de peticiones HTTP que inundan el servidor.
• Low-and-slow. Están asociados al envío de pequeños flujos de tráfico muy lentos y que no necesitan mucho ancho de banda, lo que los hace casi indetectables. Mitigarlos es muy complicado y se van acumulando poco a poco por largos periodos de tiempo hasta que logran ralentizar una red o denegar sus servicios.

Tal vez te interese leer – Seguridad IoT: 5 consejos para proteger tu empresa

Nuevos ataques DDoS este 2022

La crisis entre Ucrania y Rusia este 2022 ha profundizado los ataques y también ha diversificado sus objetivos.

Por ejemplo, según un reporte del portal TheHackerNews la mayoría de los ataques de DDoS a nivel global el pasado año 2021 fueron a los objetivos:

• Instituciones educativas superiores.
• Operadores de telecomunicaciones por cable.
• Juegos y apuestas en línea.
• Operadores de telecomunicaciones inalámbricas
• Cuidado de la salud (hospitales, clínicas, laboratorios, etc.).
• Los gobiernos y sus agencias.
• Proveedores de internet, hosting y otros servicios relacionados.
• Empresas de aprendizaje remoto.
• Empresas tecnológicas, especialmente las que brindaban soporte en teletrabajo.

Pero este año 2022, el panorama mostró un cambio nada favorable para algunas compañías y países e igualmente hubo un incremento considerable de ataques en comparación con el mismo periodo del año anterior.

Por ejemplo, el portal Cloudflare menciona que en el segundo trimestre de este año, la aviación y la industria aeroespacial fueron las que recibieron mayor cantidad de ataques DDoS en la capa de aplicación.

Fuente: Cloudflare

Solo para resaltar, la aviación y la industria aeroespacial recibieron 493% más ataques en el Q2 con relación al Q1 del mismo año 2022.

Ataques DDoS más resaltantes del 2022

• 01/06/2022: Ataque a Google Cloud vía HTTPS que generó 46 millones de solicitudes por segundo. Este ha sido el ataque más grande en la capa 7 de aplicación para la empresa.

Fuente: CronUp Seguridades

• 24/06/2022: Botnet “Mantis”, generó 26 millones de solicitudes por segundo en los servicios de Cloudflare. Se detectó que el 30% de las fuentes de amenaza se encontraban en Estados Unidos, Indonesia y Brasil. En menos de 30 segundos, esta botnet generó más de 212 millones de solicitudes HTTPS de más de 1500 redes en 121 países.
• 21/07/2022: Un cliente de Akamai en Europa del Este, fue atacado 75 veces en 30 días con envíos masivos de solicitudes que llegaron a un pico de 853 Gigabits por segundo, 659 millones de paquetes por segundo que inundaron sus servicios.

Adicionalmente, hubo miles de otras amenazas con diferentes fuentes y objetivos que no representaron mayor preocupación de forma global.

Pero la sumatoria de cada uno de estos ataques te da un indicio del gran aumento de esta problemática al comparar porcentualmente los dos trimestres de este año con el último del año 2021 como se ve en la gráfica.

Porcentaje de incremento de ataques DDoS

Fuente: Kaspersky Securelist

Factores que influyen en los ataques DDoS

Para ponerte en contexto, el primer ataque conocido DDoS fue registrado en el año 1996 al proveedor de servicio de internet de esa época, Panix, el cual quedó desconectado por varios días debido a una inundación SYN.

Ataques DDoS cada vez más grandes y más frecuentes

El avance tecnológico seguirá generando nuevas herramientas y aplicaciones para mejorar la calidad de vida de las personas y la productividad de las empresas, pero también permitirá que aparezcan nuevas formas de ciberataques.

Entre algunos factores que han facilitado este incremento en los ataques DDoS a nivel mundial se encuentran:

• La creación de botnets cada vez más sofisticados.
• Situaciones y acontecimientos específicos de impacto mundial como el COVID-19 o el conflicto Ucrania-Rusia.
• El incremento acelerado en el uso de tecnologías 5G y WiFi para la masificación de dispositivos IoT.

Todo esto ha permitido crear un número considerable de nuevas posibilidades para convertir equipos en zombis tecnológicos guiados por hackers creando amenazas a escala masiva si no se toman las previsiones correspondientes.

Es por eso que Cisco pronostica un incremento del 200% en los ataques DDoS para el 2023 en con relación al 2018, llegando a 15 millones como se observa a continuación.

Cantidad de ataques DDoS 

Fuente: Cisco  

Tal vez te interese leer – ON Cloud: soluciones de Nube Privada que potencian tu empresa

¿Qué debes hacer para prevenir estos ataques?

No todas las empresas pueden ser capaces de mitigar estas amenazas como lo hace Optical Networks con nuestra solución Anti DDoS.

Muchas empresas y proveedores tienen limitaciones en la capacidad de sus redes a la hora de soportar altos niveles de solicitudes de servicios.

Por ejemplo, Cloudflare recibió su ataque más grande en términos de volumen de 1.2 Tbps, el cual pudo mitigar rápidamente porque cuenta con 155 Tbps de capacidad de su infraestructura informática.

Por eso, contamos con el respaldo de los especialistas de NETSCOUT Arbor como partner tecnológico líder y mayor proveedor de soporte en el área, para garantizar la continuidad operativa que necesitas.

De allí que, entre las medidas que debes adoptar para evitar estas brechas en ciberseguridad y mitigar las posibles amenazas, te recomendamos las siguientes acciones.

Certifica tu infraestructura y talento humano en ciberseguridad

Si tienes una infraestructura propia, debes cumplir con estándares internacionales en el área de ciberseguridad tales como:

• ISO 27001. Establecimiento, implantación, mantenimiento y mejora continua de un SGSI (Sistema de Gestión de Seguridad de la Información).
• SOC 2. Controles de Servicio y Organización 2. Estándar internacional de informes sobre los sistemas de gestión de los riesgos de ciberseguridad de las empresas.
• NSE. Capacitación y certificación de ocho niveles de Fortinet, diseñada para proporcionar a los profesionales técnicos interesados una validación independiente de sus habilidades y conocimientos en ciberseguridad.

Igualmente, tu personal TI deberá estar capacitado para atender cualquier requerimiento que se plantee y solventar las posibles amenazas que se generen por ataques DDoS.

En caso de trabajar con un proveedor tecnológico, puedes también verificar que el mismo esté certificado en esta área. 

Capacita a tu personal tecnológico en carreras y cursos del área con los conocimientos y habilidades necesarios para soportar tus requerimientos.

Amplía tus capacidades de red

Garantizar un ancho de banda lo suficientemente amplio para evitar colapsos en procesos normales es lo más considerable para toda empresa, pero siempre debes estimar una porción disponible para afrontar este tipo de amenazas y evitar la denegación de servicios.

Según el informe Global de Amenazas de Amazon, más del 75% de los ataques ocurridos en 2019 fue menor a 1 GB (ver gráfica siguiente).

Porcentaje de Ataques DDos en 2019

Fuente: Fuente: Amazon

Pero, según la proyección realizada ese año demuestra el crecimiento de estos ataques en volumen, lo que indica que la tendencia seguirá en aumento en los venideros años (ver gráfica).

Comparativo de ataques DDoS por Volumen

Fuente: Amazon

Incorpore niveles de protección

La incorporación de herramientas WAF permite establecer medidas de ciberseguridad inmediata a la capa 7 de aplicaciones de los usuarios, dando mayor flexibilidad a TI en el control de la gestión a la hora de mitigar eventuales amenazas.

También provee protección en las aplicaciones web contra amenazas como:

• El cross-site scripting (XSS).
• La inyección de SQL.
• El envenenamiento de cookies, entre otros.

Por otro lado, el uso de servicios de centro de datos redundantes a través de servidores CDN, incrementa la confianza en la navegación de la red y de los paquetes que por ella transitan.

Otras acciones para prevenir ataques DDoS

Aunque están descritas en esta parte no indica que sean menos importantes, ya que en ciberseguridad, cada brecha que no se logre cerrar se puede convertir en un posible vector para ataques. 

Entonces debes prestar igual atención a estas acciones.

• Mantén actualizados los software de tu infraestructura. Aplicar parches y updates de los programas que tengas instalados. Mantener al día las versiones de los firmware de los dispositivos conectados a la red como router y otros equipos IoT.
• Reducir la superficie de ataque lo máximo posible. Desconecta servicios o equipos que no sean necesarios, de esta forma tienes una superficie de posibles ataques mucho menor.

Conclusiones

Los ataques DDoS serán parte de la estrategia a considerar en los próximos años por ser una de las amenazas silenciosas que pueden comprometer tu negocio de forma inesperada y masiva.

Adecuar tus instalaciones y personal es una de las medidas preventivas para mitigar estos ataques, pero implica inversión en CAPEX, espacio, tiempo y un seguimiento constante para estar al día y alerta.

¡Tranquilo!, porque en Optical Networks hemos hecho esa inversión por ti y te ofrecemos un servicio Anti DDoS 100% garantizado con capacidad de mitigar más de 20 Gbps.

La seguridad debe ser una prioridad para ti, y en Optical Networks ponemos siempre nuestro mayor esfuerzo para ofrecerte servicios de calidad garantizados.