La semana pasada se lanzó un ataque récord de denegación de servicio distribuido (DDoS) de 5,6 Tbps, impulsado por una botnet Mirai que comprende más de 13.000 dispositivos IoT comprometidos.
Este ataque ultracorto e hipervolumétrico duró sólo 80 segundos, durante los cuales arrojó grandes cantidades de tráfico a un proveedor de servicios de Web del este de Asia. Llamarada de nube cube que sus sistemas de defensa distribuidos y autónomos mitigaron con éxito el ataque en tiempo actual sin intervención humana ni interrupciones notables.
“La detección y la mitigación fueron completamente autónomas… (No) activó ninguna alerta y no causó ninguna degradación del rendimiento. Los sistemas funcionaron según lo previsto”, cube Cloudflare.
Si bien el ataque tuvo una extraordinaria potencia agregada de 5,6 Tbps, cada uno de los 13.000 dispositivos IoT involucrados contribuyó con un promedio de poco más de 1 Gbps por segundo al diluvio.
Los dispositivos IoT continúan impulsando ataques de botnets
Las vulnerabilidades de IoT estuvieron una vez más en el centro de permitir que una botnet lanzara un ciberataque masivo. Los dispositivos comprometidos, probablemente explotados por usar credenciales predeterminadas o firmware sin parches, crearon colectivamente este torrente récord de tráfico malicioso.
Este último episodio refuerza las preocupaciones sobre la falta de seguridad inherente a muchos dispositivos de IoT, ya que incluso dispositivos aparentemente inofensivos están siendo incorporados a enormes botnets maliciosos.
El ataque no fue un incidente aislado en un barrio tranquilo. Según Cloudflare, en el cuarto trimestre de 2024 se produjo un fuerte aumento en los ataques DDoS hipervolumétricos (aquellos que superan 1 Tbps), aumentando un 1,885% intertrimestral (QoQ). Los ataques DDoS que superan los 100 millones de paquetes por segundo (pps) también aumentaron significativamente, un 175% intertrimestral, y el 16% de ellos superaron el umbral astronómico de mil millones de pps.
Cloudflare informa que, si bien la mayoría (93%) de los ataques a la capa de purple siguen siendo relativamente pequeños, por debajo de los 500 Mbps, la enorme fuerza de los recientes ataques hipervolumétricos, habilitados por botnets de IoT, ha hecho sonar las alarmas en todas las industrias.
Para agravar el desafío está la brevedad de muchos ataques modernos.
“El 91% de los ataques DDoS a la capa de purple finalizan en diez minutos. Sólo el 2% dura más de una hora”, explica Cloudflare. «Debido a que la duración de la mayoría de los ataques es tan corta, en la mayoría de los casos no es factible que un humano responda a una alerta, analice el tráfico y aplique mitigación».
Orígenes globales de los ataques DDoS
Reflejando sus hallazgos del trimestre anterior, Cloudflare reveló que Indonesia ha seguido encabezando las listas globales como la mayor fuente de ataques DDoS. Hong Kong y Singapur ocuparon el segundo y tercer lugar, respectivamente, lo que refleja un cambio regional notable en el origen de los ataques.
Para los ataques HTTP DDoS, la fuente geográfica se puede determinar examinando las direcciones IP específicas de los dispositivos comprometidos, ya que no se pueden falsificar. Sin embargo, para los ataques a la capa de purple, Cloudflare depende de las ubicaciones de sus extensos centros de datos globales (que abarcan más de 330 ciudades en todo el mundo) donde se intercepta y mitiga el tráfico de ataques. Esto garantiza una atribución precisa, incluso frente a técnicas como la suplantación de propiedad intelectual.
Cuando se encuestaron, los clientes objetivo de Cloudflare confesaron abrumadoramente que no estaban seguros de quién estaba detrás de los ataques. Sin embargo, entre los que identificaron a sus atacantes, el 40% señaló a sus competidores como culpables, lo que apunta a una preocupante tendencia al sabotaje industrial.
Actores estatales o patrocinados por el estado estaban implicados en el 17% de los casos, mientras que las personas descontentas (ya sean clientes o ex empleados) obtuvieron una clasificación comparable. En explicit, el 14% de los clientes señalaron a extorsionadores, lo que refleja la creciente amenaza de ataques ‘RDoS’ (Ransom Denial-of-Service) impulsados por rescate.
Países y sectores en la mira
China una vez más mantuvo su poco envidiable corona como el país más atacado, según las ubicaciones de las direcciones de facturación de los clientes objetivo de Cloudflare. Sin embargo, el cuarto trimestre de 2024 mostró recién llegados sorprendentes: Filipinas debutó en el segundo lugar y Taiwán saltó siete puestos para ocupar el tercer lugar.
A nivel sectorial, el segmento de ‘Telecomunicaciones, proveedores de servicios y operadores’ surgió como la industria más afectada. Destronó a la industria de servicios bancarios y financieros, que cayó siete puestos desde su posición superior en el tercer trimestre de 2024 al octavo lugar este trimestre.
Mientras tanto, el sector ‘Web y Advertising and marketing y Publicidad’ completó los tres principales ataques: evidencia de que los ataques continúan proliferando en verticales cada vez más diversos.
Las estrategias defensivas deben evolucionar junto con las amenazas DDoS
Este último aluvión de ataques hipervolumétricos subraya lecciones críticas para el futuro de IoT y la seguridad en línea. Si bien la gran mayoría de los ataques siguen siendo pequeños y de corta duración, su creciente intensidad, escala y orígenes distribuidos sin precedentes (desde dispositivos IoT inseguros) apuntan a un horizonte sombrío si no se toman medidas.
Los fabricantes de dispositivos IoT deben asumir la responsabilidad, desde hacer cumplir estándares de seguridad más estrictos para garantizar parches de rutina para vulnerabilidades para evitar que sus dispositivos formen parte de una botnet como Mirai y sus variantes. Del mismo modo, las organizaciones deben adoptar soluciones de mitigación de DDoS en línea y en capas que puedan frustrar automáticamente incluso los ataques mejor coordinados sin correr el riesgo de sufrir tiempos de inactividad operativos.
Para las industrias que dependen en gran medida de su presencia digital, los riesgos financieros y de reputación de no estar preparados son casi inconmensurables. A medida que los ataques DDoS evolucionan, desde el sabotaje industrial en campos competitivos hasta herramientas de conflicto geopolítico, las empresas deben responder con una evolución igual y opuesta de las defensas.
(Imagen por Pete Linforth)
Ver también: Gayfemboy rompe la tendencia de la botnet Mirai y se convierte en una amenaza persistente
¿Quiere aprender sobre IoT de la mano de los líderes de la industria? Verificar Exposición de tecnología de IoT que tendrá lugar en Amsterdam, California y Londres. El evento integral comparte ubicación con otros eventos importantes, incluidos Exposición de seguridad cibernética y nube, Exposición de IA y Large Information, Conferencia de automatización inteligente, Exposición de informática de bordey Semana de la Transformación Digital.
Discover otros próximos eventos y seminarios net de tecnología empresarial impulsados por TechForge aquí.
