Los ataques de denegación de servicio distribuidos (DDoS) están creciendo tanto en número como en complejidad, de acuerdo con nuevo análisis de F5 Labs. Más concretamente, entre enero de 2020 y marzo de 2021 han aumentado un 55%. En la mayoría de esos incidentes (54%) se utilizaron múltiples vectores de ataque, lo que sugiere una creciente sofisticación de los hackers.
“Los ataques DDoS siguen siendo una amenaza frecuente, muy fácil de aprender y baratos para los piratas informáticos novatos, que pueden acceder a tutoriales en YouTube o contratar un servicio “DDoS-for-hire”, por poco dinero”, dice David Warburton, especialista en investigaciones sobre amenazas en F5 Labs (en la foto). “Aunque los ataques DDoS pueden convertirse en commodities, también pueden llegar a ser una modalidad compleja y sofisticada, poniendo a prueba las defensas de las compañías objetivo con diferentes tipos de ataques que se desarrollan en paralelo. Asimismo, existe una creciente evidencia de que los ciberdelincuentes están comenzando a usar ataques DDoS para presionar a las víctimas y conseguir que paguen rescates.”
DDoS se diversifica
Los ataques DDoS volumétricos, que inundan la red con tráfico dirigido a consumir todo el ancho de banda disponible, siguen siendo los más comunes dentro de esta categoría, representando el 73% de todos los incidentes entre enero 2020 y marzo de 2021.
Volumétricos, de protocolo y de aplicación, los más comunes
También se están generalizando otras modalidades de ataque. Así, los que están creciendo con mayor rapidez son los DDoS de Protocolo, que ataca los firewalls y routers para conseguir que los dispositivos de red sean incapaces de gestionar los paquetes que se les envían. En los primeros tres meses de 2021, F5 Labs observó un incremento interanual del 135% en este tipo de peligros, en comparación con un aumento del 59% de los ataques volumétricos.
Mientras tanto, los ataques DDoS de aplicación crecieron hasta suponer el 16% de todos los incidentes DDoS desde enero de 2020 hasta marzo de 2021, representando más del 50% de todas las peticiones de soporte relacionadas con DDoS gestionadas por el SIRT de F5. Este tipo de ataque tiene como objetivo consumir recursos del servidor de origen, lo que obliga a la aplicación a gestionar las solicitudes ilegítimas del atacante en detrimento de las legítimas.
Creciente sofisticación
Junto con un volumen creciente de los ataques DDoS, el SOC y el SIRT de F5 observaron una sofisticación cada vez mayor por parte de los atacantes. En los primeros tres meses de 2021, el número de ataques multivector -en los que se lanzan diferentes ataques de forma simultánea y con diferentes técnicas- fueron hasta un 80% más numerosos que en el mismo periodo del año anterior, mientras que el número de ataques de un único vector permaneció prácticamente igual.
Los ataques multivectoriales desplegaron 2,7 métodos diferentes de media, y el ataque registrado con mayor complejidad desplegó hasta ocho tipos de ataques en paralelo.
“Los hackers más sofisticados están desplegando cada vez más diferentes vectores de ataque a la vez, lo que les permite apuntar al ancho de banda de Internet de la víctima, la pila de red y los servidores de aplicación en paralelo, en un intento de abrumar a la compañía objetivo a través de un amplio frente de ataque”, explica Warburton. “Además de ataques más sofisticados, hemos registrado algunos bastante importantes, incluyendo un ataque contra una empresa de tecnología que alcanzó los 500 Gbps, medio terabit por segundo”.
Sectores clave bajo asedio
Cuatro sectores han sido los más afectados por los ataques DDoS desde principios de 2020: Tecnología (25%), Telecomunicaciones (22%), Finanzas (18%) y Educación (11%).
La frecuencia de estos ataques, sin embargo, no se correlaciona con su gravedad. Así, aunque el sector Salud solo representa una pequeña parte de este tipo de ataques, ha sido víctima de alguno de los ataques DDoS más importantes. La gravedad media de los ataques que sufren habitualmente las compañías financieras, tecnológicas y de telecomunicaciones puede calificarse como relativamente baja.
También se han dado algunos notables cambios durante los 15 meses estudiados, de acuerdo con la evolución experimentada por algunos sectores. En enero, febrero y marzo de 2021, a medida que muchas escuelas y universidades volvían a la normalidad después de un largo período de tiempo con actividad en remoto, se produjo un fuerte aumento en el número de ataques DDoS. Un 56% de todos los incidentes que afectaron al sector educativo desde enero de 2020, se produjeron en el primer trimestre de 2021.
Defendiéndose de los ataques DDoS
Con los ataques DDoS más frecuentes y sofisticados que nunca, Warburton insta a las organizaciones a permanecer alerta. Esto incluye el uso de medidas de seguridad, tales como firewalls de aplicaciones web y soluciones de detección de bots que puedan identificar tráfico legítimo, o servicios de scrubbing que logran eliminar el tráfico malicioso antes de que llegue al servidor web.
“Con un aumento constante tanto en la cantidad como en la complejidad de los ataques DDoS, está claro que debemos hacer más para defendernos de ellos”, dice el directivo. A lo que añade: “Además de considerar cómo mitigar los ataques DDoS una vez que estén en marcha, también es de vital importancia detectarlos con precisión. A medida que aumenta el número de ataques DDoS dirigidos a las aplicaciones, cada compañía tendría que ver si es capaz de diferenciar entre un aumento en el tráfico de los usuarios legítimos y un ataque dirigido y sostenido de una botnet. Como siempre, la visibilidad y el contexto son cruciales”.
“Además de considerar cómo mitigar los ataques DDoS una vez que estén en marcha, también es de vital importancia detectarlos con precisión”
Warburton también enfatiza en cómo los atacantes están haciendo un buen uso de los servidores de aplicaciones vulnerables o inseguros para lanzar ataques de reflexión. “Esto significa que, aunque una compañía no sea objetivo directo de un ataque DDoS, sus sistemas pueden utilizarse para el lanzamiento de un ataque. Los servicios DNS, NTP, Memcached y LDAP, por nombrar solo algunos, son frágiles y deben protegerse de vulnerabilidades y accesos no autenticados, especialmente si están conectados a Internet”.