Tendencias e información sobre ataques de DDoS dirigidos a aplicaciones en diciembre de 2024
Los ataques de DDoS son una importante amenaza para cualquier aplicación o API en internet, ya que son capaces de frenar el rendimiento y la disponibilidad del servicio para los usuarios finales y causar pérdidas de ingresos para las organizaciones. Estos ataques están dirigidos a los servicios de la capa 7, como las aplicaciones web, y su finalidad consiste en agotar los recursos del servidor con un volumen relativamente bajo de peticiones HTTP diseñadas de una manera muy específica. A diferencia de los ataques de DDoS de red, cuya intención es saturar la infraestructura de red con cantidades ingentes de tráfico que a menudo se contabilizan en terabits por segundo (Tbit/s), los ataques de DDoS a aplicaciones se aprovechan de las debilidades del código de la aplicación o la implementación del protocolo para causar una interrupción con menos tráfico. Esto los hace más difíciles de detectar e igual de peligrosos.
Fastly colabora con empresas de todo el mundo y utiliza la telemetría de nuestra infraestructura global y nuestra solución DDoS Protection para detectar y mitigar el tráfico malicioso. Este informe contiene datos anónimos, información y orientación sobre las últimas tendencias de los ataques de DDoS a aplicaciones que puedes utilizar para llevar más allá tus iniciativas de seguridad.
Principales hallazgos
Fastly ha observado un aumento mensual del 249 % en el volumen de peticiones asociadas a ataques de DDoS.
Las organizaciones tienen menos probabilidades de detectar la actividad de un ataque de DDoS durante los fines de semana (sábados y domingos en la franja horaria UTC).
Casi la mitad de los ataques detectados estaban dirigidos a empresas del sector de los medios de comunicación y el entretenimiento, seguidas por organizaciones de los sectores de la tecnología punta y el comercio.
Tendencias del tráfico
En diciembre, DDoS Protection de Fastly detectó varios miles de millones de peticiones vinculadas a ataques de DDoS a aplicaciones (imagen 1).
Si comparamos el volumen general de ataques de DDoS observado entre noviembre y diciembre de 2024, hubo 2,5 veces (249 %) más peticiones vinculadas a ataques en diciembre. La imagen 1 nos indica que se produjo un aumento considerable de los ataques durante seis días en comparación con el resto del mes. Estos picos representaron el 62,5 % de los ataques en diciembre. En cinco de esos seis días, se debió en gran medida a un incremento del 77 % en el número de organizaciones atacadas. La excepción fue el 4 de diciembre, día en que el número de organizaciones atacadas fue un 38 % inferior a la media del mes, pero los ataques fueron mucho mayores.
Parones durante las fiestas y los fines de semana
Aunque a principios de mes hubo bastante actividad, el volumen de tráfico de ataques se redujo considerablemente durante la segunda mitad. Con toda probabilidad, esto se debe a que los atacantes, como la mayoría de los mortales, estaban de vacaciones. Al comparar la primera mitad de diciembre con la segunda, la cantidad de peticiones de ataques de DDoS se redujo en aproximadamente un 60 %.
Si analizamos el total de ataques de DDoS a un servicio y no solo el volumen de peticiones enviadas al mismo (imagen 3), observamos la misma tendencia a la baja en la segunda mitad del mes.
Esto no hace sino confirmar que los atacantes estaban relajándose y disfrutando de las fiestas antes de volver a la carga. Otra explicación posible es que la operación PowerOFF contribuyó al bajón en los ataques de DDoS durante la segunda mitad del mes. El 11 de diciembre, la Europol anunció que había desmantelado 27 de las plataformas de DDoS más populares entre los atacantes. Seguiremos de cerca estas tendencias en enero.
Los atacantes no solo disminuyeron su actividad durante las fiestas, sino también durante todos los fines de semana del mes. Los sábados y domingos en la franja horaria UTC fueron los días en los que se detectaron menos peticiones de DDoS. Es más, las organizaciones tuvieron menos probabilidades de experimentar actividad de DDoS durante los fines de semana: solo el 12 % de las peticiones de cada semana se produjeron durante esos días (imagen 4). ¿Será que los atacantes prefieren hacer de las suyas durante los periodos en los que los sitios web tienen más visitas para causar interrupciones en el peor momento posible?
Tendencias en las organizaciones
Si nos fijamos en quiénes recibieron ataques de DDoS, vemos que las peticiones de DDoS se enviaron principalmente a empresas de tres sectores: medios de comunicación y entretenimiento, tecnología punta y comercio (imagen 5). También recibieron ataques organizaciones del sector público, la sanidad y los servicios financieros.
¿Qué tamaño tenían estas organizaciones? Si no trabajas para una empresa de la lista Fortune 500, ¿deberían preocuparte los ataques de DDoS a aplicaciones según las estadísticas de diciembre? Sí. Hemos relacionado la cantidad de ataques de DDoS a aplicaciones que las organizaciones recibieron en diciembre con sus estimaciones de ingresos anuales. Para facilitar la visualización, hemos dividido las empresas en cuatro grupos.
Enterprise: grandes empresas con más de 1000 millones de dólares
Commercial: grandes empresas con entre 100 millones y 1000 millones de dólares
SMB: pymes con menos de 100 millones de dólares
Undisclosed: empresas cuyos ingresos anuales no conocemos con exactitud. Lo más probable es que pertenezcan al segundo o al tercer grupo y que no sean públicas o no divulguen tanta información como otras(imagen 6).
Los ataques de DDoS a aplicaciones afectan incluso a las organizaciones más pequeñas, sobre todo si pensamos que puede haber pymes en el cuarto grupo. Los atacantes tratan por igual a las organizaciones que superan los 100 millones de dólares de ingresos anuales, de ahí que sus porcentajes fueran casi idénticos en diciembre.
Consejos prácticos
¿Qué podemos sacar en claro de toda esta información?
En primer lugar, queremos destacar que estos datos solo representan un mes y deben combinarse con información procedente de herramientas de observación internas e investigaciones a largo plazo. Sin embargo, incluso si nos fijamos únicamente en estos datos, hay unas cuantas cosas que conviene tener en cuenta para reforzar la seguridad.
Las organizaciones deben tener personal en sus centros de operaciones de seguridad (SOC) en todo momento, pero sobre todo entre semana.
Los sectores de los medios de comunicación y el entretenimiento, la tecnología punta y el comercio deben prestar especial atención a sus defensas frente a ataques de DDoS a aplicaciones. Esto es especialmente importante si tenemos en cuenta el mayor volumen de ataques y la importancia de la disponibilidad y el tiempo de actividad para los objetivos del negocio.
Sea cual sea su tamaño, las organizaciones deben disponer de herramientas para protegerse de los ataques de DDoS a aplicaciones. Aunque las grandes empresas son las más propensas a los ataques y deben tener soluciones capaces de gestionar un volumen cada vez mayor, las pymes también pueden estar en el punto de mira, así que contar con algunas herramientas de protección nunca está de más. Todas las aplicaciones y las API de internet pueden recibir ataques de estas características en mayor o menor medida.
Mitigación automática de los ataques distribuidos más peligrosos
Naturalmente, no vamos a dejar pasar la oportunidad de comentar que DDoS Protection de Fastly detiene automáticamente los ataques mencionados en este informe. Esta solución corta el paso a todas las peticiones de ataques que se detectan cuando los clientes utilizan el modo de bloqueo. Gracias al descomunal ancho de banda de nuestra red y sus técnicas adaptativas, DDoS Protection de Fastly te ofrece el rendimiento y la disponibilidad que necesitas sin tener que configurar nada. Ponte en contacto con nuestro equipo para obtener más información.
