Más del 50% de los Ataques DDoS a México se realizaron desde este mismo país.

  • El segundo gran emisor de ataques a México es Estados Unidos con un 34%, seguido en menor porcentaje por Costa Rica y Brasil
  • Durante el mes de octubre la república mexicana recibió 100 ataques DDoS diarios, lo que significa que sucedieron 4.1 ataques por hora
  • El aumento de la actividad DDoS está relacionado con la aparición de servicios contratados que lanzan ataques por muy poco dinero

El número  de ataques DDoS en la república mexicana aumenta día con día, y es alarmante que hoy  más del 50% de estas ofensivas se realicen desde el mismo país. Este tipo de ataques son conocidos  como ataques cruzados donde el adversario o dispositivo comprometido por el adversario, en este caso  dentro de México, atacan a otras víctimas internamente.

Estos datos provienen de la infraestructura ATLAS de Arbor Networks, la cual  recopila información  de tráfico anónimo de 400 proveedores de servicios en todo el mundo, lo que nos da una idea de aproximadamente 1/3 de todo el tráfico de Internet. Desde este punto de vista, se ha detectado  la siguiente actividad en cuanto a ataques  DDoS en México el pasado mes de octubre de 2017

  • 3,100 ataques
  • 100 / día
  • 4.1 / hora
  • 51.53% de los ataques en México provienen de nuestro mismo país, 35.43% de Estados Unidos , 6.83 de Costa Rica, y 6.22 de Brasil
  • Tamaño de ataque más grande: 28.6 Gbps.

El aumento de la actividad DDoS está relacionado con la aparición de servicios contratados que lanzan ataques DDoS por muy poco dinero. Estos servicios de ataque, conocidos como booter / stressers, hacen su dinero en volumen, lanzando miles de ataques aprovechando una infraestructura de botnet (computadoras controladas de forma remota y cada vez más son dispositivos IoT). Con esta infraestructura, un botmaster puede agregar 10,000, 50,000, y a veces cientos de miles de dispositivos para lanzar ataques.

La problemática para las empresas es que actualmente la  disponibilidad de red es tan fundamental para sus  operaciones como la electricidad. Cuando se toma la disponibilidad por medio de un ataque DDoS el impacto se siente de inmediato. Los sitios y servicios en línea desaparecen y clientes, socios y empleados se detienen en seco. Si persiste esta dificultad, puede conducir no solo a la pérdida de ventas, sino a la pérdida de clientes y al aumento de los costos de comercialización para recuperarlos.

En el último año, estas botnets se han vuelto  cada vez más sofisticadas, lanzando no solo ataques de alto volumen que acaparan los titulares, sino millones de ataques dirigidos a las aplicaciones de Capa-7. En la actualidad, los  DDoS atacan múltiples objetivos simultáneamente, desde el ancho de banda hasta las aplicaciones y la infraestructura existente, incluidos los firewalls de red, los firewalls de aplicaciones web (WAF) y los sistemas de prevención de intrusiones (IPS). Y los ataques se vuelven cada vez más multidimensionales, empleando una combinación de metodologías de ataque y tácticas de diversión para desbordar defensas.

Tenemos la certeza de muchas botnets en México, además del ya conocido  ¨Mirai¨ hacia dispositivos inteligentes (IoT).  Desde hace años han sucedido múltiples compromisos provenientes de   enrutadores caseros que son utilizados  en nuestros hogares  para acceder a Internet, así como varios tipos de infraestructura de diversas verticales que son manejados por los adversarios y atacan internamente  y hacia el exterior desde México. Ejemplo de ello son las botnets encontradas  en dependencias de gobierno como  Dirt Jumper, Pushdo o Necurs, populares para generar múltiples vectores de explotación de DDoS vistas  el último año en nuestro país. Comentó Carlos Ayala, experto en ciber seguridad por parte de Arbor Networks

El primer paso para la protección es comprender la amenaza, su frecuencia y complejidad. Sin esa línea de base, no se puede medir ni apreciar el riesgo de los ataques DDoS presentes en una organización.  Asimismo lidiar exitosamente con ataques DDoS requiere de contar con las  soluciones tecnológicas correctas, sin embargo, ese no es el final de la historia. En algún momento, incluso con la automatización de múltiples aspectos de la defensa DDoS, desde contramedidas preinstaladas hasta la conexión con la mitigación basada en la nube, los seres humanos desempeñan un papel clave en la respuesta y defensa general. Los equipos de seguridad deben estar preparados para reconocer y responder a las amenazas sin dudarlo. La preparación es la clave para desarrollar los «reflejos organizacionales» para acelerar la respuesta al incidente cuando está bajo la presión de un ataque.

Los dispositivos IPS, firewalls y otros productos de seguridad son elementos esenciales de una estrategia de defensa en capas, pero están diseñados para resolver problemas de seguridad que son fundamentalmente diferentes de los productos dedicados de detección y mitigación de DDoS. Los dispositivos IPS, por ejemplo, bloquean los intentos de robo que causan el robo de datos. Mientras tanto, los firewalls actúan como implementadores de políticas para evitar el acceso no autorizado a los datos. Si bien estos productos de seguridad abordan eficazmente la «integridad y confidencialidad de la red», no abordan una preocupación fundamental con respecto a los ataques DDoS: «disponibilidad de red».  La capacidad de defender una  empresa y mantener la disponibilidad de los servicios depende directamente de cuán rápido pueda responder a estas amenazas múltiples. La nube es solo una solución parcial, ideal para esos grandes ataques pero la acción real en la defensa DDoS es in situ. Concluyó  Ayala

 

Para obtener más información sobre mayores riesgos de seguridad que acompañan a los dispositivos conectados, lea nuestro Informe anual de seguridad de la infraestructura mundial.

  • Posted in ASERT Blog
  • Comentarios desactivados en Más del 50% de los Ataques DDoS a México se realizaron desde este mismo país.