Se producen menos ataques DDos, pero son más grandes y complejos
El número de ataques de denegación de servicio distribuidos, DDoS, ha decrecido de forma sensible pero más bien ligera en los últimos años, y sin embargo ha aumentado de manera destacada su tamaño y su complejidad.
Los ataques DDoS disminuyeron un 3% en 2021, según los datos recopilados por F5 a través su plataforma cloud de servicios gestionados F5 Silverline1, con la que la compañía detecta y mitiga ataques DDoS en tiempo real. Sin embargo, el tamaño y complejidad de estos ataques aumentó notablemente.
Así, durante el cuarto trimestre de 2021, el tamaño máximo de los ataques registrados superó los 21 Gbps, más de cuatro veces el nivel de principios de 2020. "El año pasado vimos cómo el tamaño de estos ataques aumentaba constantemente, batiéndose récords en varias ocasiones. La tendencia inequívoca es que estos ataques son cada vez más grandes", dice David Warburton, director de F5 Labs.
Cada vez mayores
Si bien la mayoría de los ataques registrados en 2021 estuvieron por debajo de los 100 Mbps, hubo algunas excepciones notables.
Después de que el ataque más grande de 2020 alcanzara los 253 Gbps, en febrero de 2021 se detectó uno de 500 Gbps. El récord se volvió a batir en noviembre con un ataque de 1,4 Tbps, más de cinco veces mayor que el récord del año anterior. En este ataque, el ancho de banda máximo se alcanzó en solo 1,5 minutos y tuvo una duración total de cuatro minutos. Se utilizó una combinación de métodos volumétricos (DNS reflection) y de capa de aplicación (inundaciones HTTPS GET).
Cada vez más complejos
Los ataques volumétricos, que utilizan herramientas y servicios disponibles públicamente para inundar la red de un objetivo con más ancho de banda del que puede gestionar, continuaron siendo la tipología más común de ataques DDoS en 2021, acaparando el 59% de todos los ataques registrados. Este dato representa un ligero descenso con respecto al 66% del año anterior, debido al aumento de los ataques DDoS de tipo protocolo y a la capa de aplicación. Estos últimos, en concreto, se incrementaron en casi un 5%.
Este ligero cambio se subrayó al variar la utilización de los protocolos. El 27% de los ataques en 2021 aprovecharon TCP, frente al 17% del año anterior, algo que indica unos requisitos de ataque más complejos basados en aplicaciones y protocolos.
En términos de métodos de ataque, se observa algunos cambios notables en la prevalencia: los ataques de consultas DNS se volvieron más comunes, con un aumento del 3,5% interanual, y el uso de la fragmentación UDP disminuyó un 6,5%. La LDAP Reflection también disminuyó un 4,6% y la reflexión de DNS un 3,3%.
"Además de los cambios en el tipo de ataque, continuamos observando una fuerte prevalencia de ataques multivectoriales. Por ejemplo, en el incidente de 1,4 Tbps se utilizó una combinación de DNS Reflection y HTTPS GETS", dice Warburton. "A principios de 2021 los ataques multivectoriales superaron significativamente a los ataques de un solo vector. Esto muestra un panorama cada vez más desafiante para la protección contra amenazas, con defensores que necesitan emplear más técnicas en paralelo a fin de poder mitigar ataques cada vez más sofisticados y evitar la denegación de servicio".
Servicios financieros en el punto de mira
El sector Banca y Seguros fue el principal objetivo de los ataques DDoS en 2021, acaparando más de una cuarta parte del volumen total. Las compañías de este sector han visto como los ataques DDoS dirigidos a ellas aumentaban de forma constante desde principios de 2020.
Por el contrario, el sector tecnológico, que fue el más atacado en 2020, cayó al cuarto lugar un año más tarde, situándose detrás de Telecomunicaciones y Educación. Estos cuatro sectores representaron el 75% de todos los ataques registrados. Entre las víctimas también aparecen organizaciones de Energía, Retail, Sanidad, Transporte y Legal, pero con una actividad adversa poco representativa.
"Aunque la cantidad de ataques disminuyó ligeramente en 2021, el problema DDoS no está desapareciendo de ninguna manera", afirma Warburton. "Tanto el tamaño como la complejidad de estos ataques están creciendo, lo que exige una respuesta más ágil y diversa por parte de los responsables de la seguridad".
"Si bien es entendible cuestionar la eficacia de los ataques que duran solo unos minutos, los ciberdelincuentes saben que incluso una breve interrupción de un servicio puede tener consecuencias significativas e impactar negativamente en la imagen de marca y en la reputación de la víctima".
"A medida que la sofisticación y la variedad de ataques DDoS se incrementa, las organizaciones se verán obligadas a utilizar una amplia variedad de métodos para protegerse contra ellos, incluyendo controles para inspeccionar y limitar el tráfico que llega a los endpoints, y proveedores de servicios gestionados que pueden trabajar junto a los equipos de seguridad interna tanto para prevenir ataques como para mitigar con rapidez los que están en curso".