Una retrospectiva de las tendencias de DDoS en 2023 y estrategias viables para 2024

Ciudad de México, enero de 2024. El 2023 fue un año histórico en términos de tendencias de ataques de denegación de servicio distribuido (DDoS). Akamai, empresa líder en ciberseguridad y servicios en la nube, realizó el estudio “Una retrospectiva de las tendencias de DDoS en 2023 y estrategias viables para 2024”, el cual analizó a profundidad cómo fueron los ataques DDoS el año pasado y cuáles son las soluciones viables en 2024.

Los grupos de ciberdelincuentes, los hacktivistas con motivaciones geopolíticas y otros actores maliciosos utilizaron el costo relativamente económico de lanzar ataques DDoS y la escala de botnets masivas construidas a partir de dispositivos digitales cotidianos y de Internet de las cosas (IoT) para lanzar ataques en número récord contra empresas e instituciones gubernamentales y, lo que es más inquietante, contra infraestructuras públicas críticas pero vulnerables, incluidos hospitales. 

En la mayoría de los casos, el objetivo principal es causar daños, pérdida de productividad, pérdidas financieras y llamar la atención del público. Es importante recordar que los ataques DDoS son ataques dirigidos, y quienes lanzan la amenaza seleccionan conscientemente sus objetivos. Los ataques a estas industrias a menudo tienen como objetivo infligir daño a la reputación o distraer a los profesionales de seguridad para lanzar ataques secundarios de ransomware.

Principales características de ataques DDoS en 2023

A lo largo de 2023, los ataques DDoS se volvieron más frecuentes, de mayor tamaño y altamente sofisticados (con múltiples vectores), y se centraron en objetivos horizontales (atacando múltiples destinos IP en el mismo evento de ataque).

“Los ataques DDoS han aumentado continuamente en tamaño y sofisticación, pero 2023 aceleró esta tendencia a un ritmo imprevisto.” señala Hugo Werner, Vicepresidente Regional de Akamai para América Latina. “El año pasado hubo varios ataques DDoS adicionales de capa 3 y capa 4 de paquetes altos por segundo impulsados por el hacktivismo geopolítico y otras motivaciones maliciosas. De hecho, Akamai observó el mayor número de ataques de este tipo en 2023: casi un aumento del 50 % con respecto a 2021.”

No fue solo la cantidad de ataques lo que aumentó en 2023, sino también la variedad de tipos de ataques que se destacaron respecto a años anteriores:

1. Ataques masivos: Los ataques DDoS horizontales, a los que a veces se hace referencia como “ataques DDoS con bombardeos masivos”, experimentaron un marcado aumento desde el último trimestre de 2022. Hasta el tercer trimestre de 2022, menos del 20% de los ataques DDoS observados por Akamai se clasificaron como ataques masivos u horizontales. En los últimos 12 meses, observamos constantemente que casi el 30% de los ataques DDoS fueron ataques horizontales y multidestino, lo que representa un aumento de casi el 50%.
2. Ataques multivectoriales:Otra tendencia distintiva de los ataques DDoS en 2023 ha sido el número cada vez mayor de vectores empleados por los ciberdelincuentes cuando atacan a una empresa o institución.

Algunos de los ataques DDoS más grandes y sofisticados defendidos por Akamai en 2023 tenían una combinación de más de 14 vectores diferentes, claramente destinados a lograr el agotamiento de los recursos y abrumar a los equipos de seguridad de red de las empresas objetivo. En muchos casos, estos ataques DDoS complejos y multivectoriales pretendían cumplir el propósito adicional de ser una cortina de humo para ataques de triple extorsión.

3. Objetivos vulnerables: el año pasado, los ciberdelincuentes persiguieron lo que se percibe como “objetivos vulnerables”. Pequeñas y medianas organizaciones; instituciones gubernamentales; e infraestructuras públicas críticas como escuelas, hospitales, aeropuertos y otros centros de transporte y logísticafueron atacadas repetidamente con DDoS en 2023. Como ejemplo, el conocido grupo hacktivista Anonymous Sudan atacó seis importantes aeropuertos indios y múltiples instituciones sanitarias en abril de 2023.

«Durante la fase de reconocimiento o mapeo de los ataques, los actores de amenazas saben qué servicios de producción tienen protecciones implementadas y planifican en consecuencia, de una manera relativamente económica pero efectiva para distraer a los equipos de seguridad involucrados y causar daños a la reputación de los gobiernos y las empresas», explica. Hugo Werner. «Esto es muy peligroso, e incluso cuando el objetivo principal es dañar la reputación institucional, también puede tener consecuencias para los usuarios finales y sus vidas».

4. Campañas de ataques DDoS: Finalmente, a lo largo de 2023, observamos que ha habido un resurgimiento de campañas de ataques DDoS más largas. En promedio, muchos ataques fueron campañas sostenidas durante más de 20 minutos, y la cantidad de ataques que continuaron durante más de una hora aumentó en un 50 % entre 2021 y 2023. Los ataques prolongados afectan la productividad y la capacidad de las operaciones para mantener la continuidad cuando se detectan otras amenazas y se requieren respuestas.

Estrategias viables para una protección DDoS proactiva y eficaz en 2024

El costo relativamente bajo de lanzar ataques DDoS, particularmente con la proliferación de DDoS como servicio, los ha convertido en una potente arma de cibercrimen en manos de actores maliciosos. Aunque los ataques DDoS no se pueden prevenir, es 100% posible proteger sus activos digitales de dichos ataques adoptando estrategias como una preparación proactiva de protección DDoS, revisando espacios IP críticos y asegurarse de que el sitio tenga controles de mitigación implementados.

Además, es importante implementar controles de seguridad DDoS en una postura de protección siempre activa como primera capa de defensa para evitar un escenario de integración de emergencia y reducir la carga de los servicios de respuesta a incidentes.

También, designar proactivamente un equipo de respuesta a crisis y garantizar que los runbooks y los planes de respuesta a incidentes estén actualizados, así como extender la postura de seguridad más allá de la protección DDoS básica mediante la configuración de controles de seguridad proactivos a través de un firewall en la nube de red puede ayudar a mitigar el riesgo.

La infraestructura DNS ha resurgido como un objetivo importante para los ataques DDoS. Si su DNS falla, también lo hace su presencia en línea. En algunos casos, proteger la seguridad y el rendimiento de su infraestructura DNS puede resultar un desafío si una configuración administra algunas zonas en la nube y otras en las instalaciones. En muchos de estos casos, un firewall DNS tradicional proporciona una protección inadecuada. La solución más óptima es una plataforma híbrida que le permita proteger sus zonas DNS tanto locales como en la nube de todo tipo de ataques.

Es importante también no confiar en soluciones que sean medianamente buenas.

Hugo Werner menciona que “2023 fue el año de las víctimas desprevenidas e insuficientemente preparadas en esta área, muchas de las cuales habían subestimado cómo habían evolucionado las amenazas DDoS y habían sobreestimado lo que su seguridad existente podía manejar.”

Las soluciones “freemium” cuentan con un servicio de nivel básico con una solución gratuita o relativamente económica, sin embargo, es importante contar con un nivel de protección para ataques DDoS que no ponga en riesgo a la compañía ni a los usuarios finales, sobre todo cuando los ataques son cada vez más frecuentes y sofísticados.