HayCanal.com

Los ataques DDoS apuntan cada vez más a los proveedores de servicios

Los ataques DDoS apuntan cada vez más a los proveedores de servicios

Los ataques distribuidos de denegación de servicio, DDoS, dirigidos a los proveedores de servicios están aumentando significativamente, según recoge un nuevo informe elaborado por F5 Labs, la división de ciberseguridad de F5 Networks.

Este análisis, que tiene en cuenta los incidentes de seguridad en redes fijas y móviles durante los últimos tres años, también señala que otro tipo los ataques, como los de fuerza bruta, a pesar de seguir siendo importantes, son cada vez menos numerosos. Asimismo, dice también que los ataques de inyección web y el compromiso de dispositivos son también amenazas relevantes.

En general, los proveedores de servicios han hecho avances importantes en la defensa de sus redes, pero todavía hay mucho margen de mejora. Esto es particularmente cierto cuando se trata de detectar ataques de forma temprana sin comprometer la capacidad de escalar y de satisfacer la demanda de los clientes“, afirma Malcolm Heath, Senior Threat Research Evangelist en F5 Labs.

Los DDoS, en ascenso

Los ataques DDoS fueron, con mucho, la mayor amenaza para los proveedores de servicios entre 2017 y 2019, representando el 49% de todos los incidentes reportados durante este período. Sin embargo, el informe de F5 Labs señala que hay que tener en cuenta que si en 2017 representaron el 25% de los ataques registrados, el año pasado crecieron hasta el 77%.

Los ataques de denegación de servicio dirigidos a proveedores de servicios tienden a focalizarse en los sistemas de nombre de dominio (DNS) o en aplicaciones financieras.

La mayoría de estos ataques se inician dentro de un suscriptor del proveedor de servicios que, especialmente en el caso de incidentes relacionados con DNS, aprovechan los recursos del proveedor de servicios para atacar a otros.

F5 Labs señala que la mayoría de los incidentes DDoS reportados se centraron en DNS, como los ataques de reflexión y los DNS Water Torture. Los ataques de reflexión utilizan recursos alojados por el proveedor de servicios (como DNS y NTP) para reflejar tráfico falso con la finalidad de que las respuestas del servicio utilizado vayan al objetivo, no al iniciador. DNS Water Torture es una forma de ataque de reflexión que utiliza peticiones incorrectas de forma intencionada para generar una mayor carga en los servidores DNS objetivo. Sin embargo, las solicitudes pasan a través de los servidores DNS locales del proveedor de servicios, lo que genera mayores tensiones que, en ocasiones, llegan al nivel de denegación de servicio.

La primera prueba de un ataque suele ser un aumento en el tráfico de red descubierto por el equipo de operaciones de un proveedor de servicios. Otras señales de alerta incluyen quejas de clientes provocadas por un servicio de red lento o por servidores DNS que no responden.

La capacidad de comparar con rapidez las características del tráfico normal y esperado de la red con desviaciones durante el ataque resulta de una importancia crítica”, explica Heath. “También es crucial habilitar rápidamente un registro de servicios de red para identificar consultas inusuales".

Ataques de autenticación, significativos pero en retroceso

Los ataques de fuerza bruta, que implican probar cantidades masivas de nombres de usuario y contraseñas contra un punto de autenticación, fueron el segundo incidente más reportado. Los atacantes a menudo usan credenciales obtenidas en otras brechas, que luego se utilizan para atacar servicios a través de una táctica conocida como "relleno de credenciales". Otras formas de ataques de fuerza bruta simplemente usan listas comunes de credenciales predeterminadas (es decir, admin/admin), contraseñas utilizadas comúnmente o cadenas de contraseñas generadas al azar.

F5 Labs observa una marcada recesión en los ataques de fuerza bruta, ya que si en 2017 fueron el 72% de todos los incidentes, en 2019 bajaron hasta el 20%. Sin embargo, hubo un aumento en los ataques de este tipo a proveedores de servicios centrados en el sector financiero.

F5 Labs señala que los primeros indicios de este tipo de ataques son, generalmente, quejas de clientes relacionadas con el bloqueo de cuentas. "La detección temprana es, una vez más, clave", dice Heath. "Un aumento en los intentos fallidos de inicio de sesión en un corto período de tiempo en comparación con los niveles normales de actividad, debe hacer saltar las alarmas para poder actuar inmediatamente. También es importante iniciar el uso generalizado de la autenticación multifactor para mantener a raya a los atacantes persistentes”.

Dispositivos comprometidos, ataques web y bots de IoT

Otros ataques destacables registrados por F5 Labs son los relacionados con dispositivos comprometidos dentro de la infraestructura de proveedor de servicios, que representaron el 8% de los incidentes en 2018. Por lo general, se detectaron debido al aumento del tráfico saliente, ya que los dispositivos comprometidos se usaban para lanzar ataques de denegación de servicio.

F5 Labs dice que los ataques a la red general representaron también el 8% de todos los incidentes en 2019, con las inyecciones dominando como táctica específica. Los ataques intentan aprovechar los errores en el código de la aplicación web para solicitar la ejecución del comando. En el caso de una inyección SQL, se intenta ejecutar comandos en servidores de bases de datos back-end, lo que a menudo conduce a la exfiltración de datos. Tales ataques generalmente son capturados por tecnologías WAF o por alertas activadas desde los registros del servidor web.

En el frente de Internet de las cosas (IoT), la influencia de un bot llamado Annie, una variante de Mirai, continuó ejerciendo influencia. Descubierto por primera vez en 2016, el bot apunta a los protocolos personalizados TR-069 y TR-064 utilizados por los ISPs para administrar de forma remota grandes flotas de routers a través del puerto 7547.

Aunque el actor de la amenaza que creó Annie admitió no usar el bot desde diciembre de 2016, dirigirse al puerto 7547 sigue siendo frecuente y continuó intensificándose en 2019. El interés de los atacantes por el puerto de administración remota Mikrotik 8291 también ha aumentado exponencialmente en los últimos seis meses.

Según F5 Labs, los puertos 7547 y 8291 fueron los principales puertos objetivo en Oriente Medio y América Latina en el cuarto trimestre de 2019. “Los ISP en Europa seguramente aprendieron de las noticias sobre Annie hace años. Es probable que los ISP de Oriente Medio y América Latina aún tengan algo de trabajo por hacer”, agrega Heath.


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos