Volver al blog

Síguenos y suscríbete

Sólo disponible en inglés

Por el momento, esta página solo está disponible en inglés. Lamentamos las molestias. Vuelva a visitar esta página más tarde.

DDoS en febrero

Arun Kumar

Senior Security Researcher, Fastly

David King

Gerente sénior de marketing de producto, Seguridad

Equipo de Security Research de Fastly

Equipo de Security Research de Fastly, Fastly

Seguridad Información del sector

El exclusivo informe mensual de Fastly sobre el clima de DDoS de febrero de 2025 muestra un aumento intermensual de 2,85 veces en el volumen de ataques.

La red global instantánea única de Fastly ha detenido billones de intentos de ataques DDoS en las capas 3 y 4. Sin embargo, los nuevos y sofisticados ataques de capa 7 son más difíciles de detectar y potencialmente mucho más peligrosos. Esta importante amenaza para el rendimiento y la disponibilidad de cualquier aplicación o API orientada a Internet pone en peligro a usuarios y organizaciones. Fastly utilizó la telemetría de nuestra red de 410 terabits por segundo1, que atiende 1,8 billones de peticiones al día2, y DDoS Protection de Fastly para obtener un conjunto único de información sobre el «clima» de las aplicaciones DDoS globales, el único informe mensual de este tipo. Aprovecha los datos anonimizados, las perspectivas y la orientación práctica sobre las últimas tendencias de DDoS en aplicaciones para ayudarte a fortalecer tus iniciativas de seguridad.

La influencia de las mejoras de producto en los informes

DDoS Protection de Fastly se lanzó en octubre de 2024 y hemos hecho todo lo posible para que sea la mejor solución para DDoS de aplicaciones en el mercado. Aunque ya hemos hablado largo y tendido sobre lo potente que es el motor adaptativo de la solución Attribute Unmasking para combatir los ataques, hemos trabajado intensamente para mejorar su base y en febrero hicimos algunas mejoras importantes en la detección. 

Las mejoras redujeron aún más el tiempo desde la detección hasta la mitigación, al tiempo que ampliaron la visibilidad de la solución ante los ataques DDoS (especialmente los ataques más breves y pequeños). Continuamos mejorando las capacidades fundamentales de detección y mitigación, y probablemente desempeñan un papel en el motivo por el que observamos un aumento tan severo en el volumen de ataques en febrero. Esperamos ver la influencia de mejoras como estas en nuestros informes, mientras refinamos continuamente el producto para que sea aún mejor para clientes como tú. Con esa advertencia fuera del camino, ¡vamos a los resultados!

Conclusiones principales

  1. Fastly observó un aumento intermensual del 285 % en los ataques DDoS a aplicaciones, lo que refleja la tendencia actual de aumento del volumen de ataques cada mes.

  2. El Reino Unido entró en el top 5 de países que observaron peticiones de ataque desde que empezamos a analizar los patrones de ataque por región.

  3. La asignación de recursos de los atacantes para los ataques parece alinearse con el tamaño de la empresa objetivo, así como con su capacidad y resiliencia percibidas

Tendencias de tráfico

Todos los meses, Fastly observa decenas de miles de millones de ataques DDoS a aplicaciones dirigidos a nuestros clientes, pero en febrero observamos un volumen de solicitudes DDoS 2,85 veces superior al de enero.

La tendencia de aumento del volumen ha sido constante desde diciembre de 2024, cuando lanzamos nuestro primer informe «DDoS in». De diciembre a enero se produjo un aumento del 14,5 %, y ahora de enero a febrero se ha producido un incremento del 285% en el volumen (Imagen 1).

La red global instantánea y única de Fastly consta de servidores físicos, conectados a Internet en puntos de intercambio de Internet de alta densidad en puntos de presencia (PoP) situados en 97 ubicaciones estratégicas alrededor del mundo3. En febrero, se detectó tráfico de ataques de denegación de servicio distribuido (DDoS) en múltiples PoP de todo el mundo (Imagen 2), con los volúmenes más altos observados en nuestros PoP en:

  1. Estados Unidos

  2. Alemania

  3. Singapur

  4. Reino Unido

  5. Francia

De especial interés en esta lista está el Reino Unido, que se ubicó en cuarto lugar. Aunque el país ocupa el segundo lugar en estadísticas de uso de internet en Europa, solo detrás de Alemania, su ascenso al top 5 implica que se observó un conjunto mucho mayor de ataques en el Reino Unido este mes. Entonces, ¿a quién dirigieron su ataque los atacantes?

Muchas de las organizaciones objetivo de las solicitudes de ataque observadas en el Reino Unido tenían un nivel de coincidencia entre ellas. Las organizaciones operaban en sectores de tecnología punta o medios de comunicación y entretenimiento y se dedicaban a la privacidad, la lucha contra la censura o la libertad de prensa. Se trata de una realidad latente que merece la pena poner de manifiesto: cuanto más probable sea que las ofertas de tu organización molesten a los atacantes, más probabilidades tendrás de atraer su atención, y así sucedió en febrero.

Aunque normalmente observamos una pausa en los ataques durante el fin de semana, en febrero los ataques se distribuyeron de forma relativamente uniforme a lo largo de la semana (Imagen 3). El viernes y el sábado registraron el mayor volumen de solicitudes y superaron en un 39 % el volumen medio de ataques.

Normalmente, cuando elaboramos estos informes, utilizamos el volumen de solicitudes de ataques como método común de medición, pero ¿qué pasaría si, en su lugar, nos fijáramos en el recuento de ataques? He aquí cómo cambian los datos. Los siguientes tamaños de empresas se dividen en 3 categorías:

  • Empresa: más de 1000 millones USD

  • Comercial: entre 100 millones y 1000 millones USD

  • Pequeñas y medianas empresas (pymes): menos de 100 millones USD

Al observar el recuento de ataques, encontramos que las pymes recibieron casi la mitad de todos los ataques (43,3 %), mientras que las organizaciones comerciales recibieron casi el 36 % y las empresas el 20,9 % (Imagen 4).

Al observar, en cambio, el volumen de solicitudes de ataque por tamaño de organización, comprobamos que, mientras que el porcentaje de pymes apenas aumenta, la proporción de empresas experimenta cambios drásticos (Imagen 5).

Lo que podemos deducir de esto es que cuando los atacantes deciden atentar contra las organizaciones más grandes del mundo, vienen preparados. Probablemente entienden que se necesitará un ataque de mayor envergadura para tener alguna posibilidad de éxito y, por ello, en febrero lanzaron ataques de mayor magnitud contra organizaciones de este tamaño. Para facilitar su comparación, hemos agrupado los gráficos circulares anteriores a continuación (Imagen 6).

Las organizaciones que operan en el sector de la tecnología punta registraron el mayor número de ataques, seguidas por las de comercio y, a continuación, las de medios de comunicación y entretenimiento (Imagen 7). Este dato contrasta claramente con el de enero, cuando el porcentaje de clientes del sector del comercio que sufrieron ataques fue inferior al 11,5 %. La distribución pone de manifiesto la volatilidad mes a mes en la elección de objetivos por parte de los atacantes.

Este mes también investigamos cómo cambian los datos cuando combinamos el tamaño de la empresa y el sector. Resulta especialmente interesante comprobar cómo determinados tamaños de empresa se ven sometidos a una mayor presión en función de su sector. Las organizaciones de tamaño comercial son el objetivo claro en el comercio, las pymes en tecnología punta, y la distribución es relativamente uniforme en los medios de comunicación y entretenimiento y el resto de sectores atacados.

Consejos prácticos

Entonces, ¿qué puedes deducir de toda esta información?

Es importante tener en cuenta que estos datos solo representan un mes de datos y deben utilizarse junto con información propia de tus herramientas de observabilidad e investigaciones a largo plazo para crear una visión completa. Sin embargo, a partir de estos datos por sí solos, hay algunas lecciones clave que puedes integrar en tus esfuerzos de seguridad actuales:

  • El volumen de ataques ha aumentado durante tres meses consecutivos y dio un salto drástico de enero a febrero. Aunque el almacenamiento de contenidos en caché puede aliviar parte de la carga en los servidores de origen, las organizaciones deben considerar la implementación de soluciones DDoS dedicadas que puedan adaptarse a los patrones variables de tráfico legítimo y de ataque.

  • Los profesionales de la seguridad y los directivos de las organizaciones deben comprender el panorama de las amenazas, evaluar los riesgos propios de su sector y aplicar las estrategias defensivas correspondientes. Por ejemplo, una empresa centrada en facilitar la adopción de mascotas es probablemente un objetivo menos atractivo en comparación con una organización de medios de comunicación, que puede enfrentarse a amenazas que van desde los hacktivistas a los actores de origen estatal.

  • El volumen de ataques fue relativamente constante durante los días de la semana, pero alcanzó su punto máximo el viernes y el sábado (UTC), lo que pone de manifiesto la importancia de un SOC 24/7/365 que pueda luchar contra los ataques incluso si se producen durante el fin de semana.

Mitiga automáticamente los ataques distribuidos más peligrosos

Como siempre, no podemos dejar de recordarte que soluciones como DDoS Protection de Fastly detienen automáticamente los ataques detallados en este informe. DDoS Protection de Fastly aprovecha el enorme ancho de banda de nuestra red y las técnicas adaptativas para garantizar que tus sitios web sigan siendo rápidos y estén disponibles, todo ello sin necesidad de configuración. Escríbenos para obtener más información.

1 a fecha de 31 de diciembre de 2024

2 a fecha de 31 de julio de 2023

3 a fecha de 31 de diciembre de 2024

Fastly
© Fastly 2025