El número de ataques DDoS en la república mexicana aumenta día con día, y es alarmante que hoy más del 50% de estas ofensivas se realicen desde nuestro mismo país. Este tipo de ataques son conocidos como ataques cruzados donde el adversario o dispositivo comprometido por el adversario, en este caso dentro de México, atacan a otras víctimas internamente.
Estos datos provienen de la infraestructura ATLAS de Arbor Networks, la cual recopila información de tráfico anónimo de 400 proveedores de servicios en todo el mundo, lo que nos da una idea de aproximadamente 1/3 de todo el tráfico de Internet. Desde este punto de vista, se ha detectado la siguiente actividad en cuanto a ataques DDoS en México desde enero hasta octubre de 2017.
La firma destaca picos de 3,100 ataques, 100 por día, 4.1 por hora. El 51.53% de los ataques en México provienen de nuestro mismo país, 35.43% de Estados Unidos, 6.83 de Costa Rica, y 6.22 de Brasil. El tamaño de ataque más grande es de 28.6 Gbps.
El aumento de la actividad DDoS está relacionado con la aparición de servicios contratados que lanzan ataques DDoS por muy poco dinero. Estos servicios de ataque, conocidos como booter / stressers, hacen su dinero en volumen, lanzando miles de ataques aprovechando una infraestructura de botnet (computadoras controladas de forma remota y cada vez más son dispositivos IoT). Con esta infraestructura, un botmaster puede agregar 10,000, 50,000, y a veces cientos de miles de dispositivos para lanzar ataques.
La problemática para las empresas es que actualmente la disponibilidad de red es tan fundamental para sus operaciones como la electricidad. Cuando se toma la disponibilidad por medio de un ataque DDoS el impacto se siente de inmediato. Los sitios y servicios en línea desaparecen y clientes, socios y empleados se detienen en seco. Si persiste esta dificultad, puede conducir no solo a la pérdida de ventas, sino a la pérdida de clientes y al aumento de los costos de comercialización para recuperarlos.
En el último año, estas botnets se han vuelto cada vez más sofisticadas, lanzando no solo ataques de alto volumen que acaparan los titulares, sino millones de ataques dirigidos a las aplicaciones de Capa-7. En la actualidad, los DDoS atacan múltiples objetivos simultáneamente, desde el ancho de banda hasta las aplicaciones y la infraestructura existente, incluidos los firewalls de red, los firewalls de aplicaciones web (WAF) y los sistemas de prevención de intrusiones (IPS). Y los ataques se vuelven cada vez más multidimensionales, empleando una combinación de metodologías de ataque y tácticas de diversión para desbordar defensas.
Tenemos la certeza de muchas botnets en México, además del ya conocido “Mirai” hacia dispositivos inteligentes (IoT). Desde hace años han sucedido múltiples compromisos provenientes de enrutadores caseros que son utilizados en nuestros hogares para acceder a Internet, así como varios tipos de infraestructura de diversas verticales que son manejados por los adversarios y atacan internamente y hacia el exterior desde México. Ejemplo de ello son las botnets encontradas en dependencias de gobierno como Dirt Jumper, Pushdo o Necurs, populares para generar múltiples vectores de explotación de DDoS vistas el último año en nuestro país, comentó Carlos Ayala, experto en ciber seguridad por parte de Arbor Networks.
El primer paso para la protección es comprender la amenaza, su frecuencia y complejidad. Sin esa línea de base, no se puede medir ni apreciar el riesgo de los ataques DDoS presentes en una organización. Asimismo lidiar exitosamente con ataques DDoS requiere de contar con las soluciones tecnológicas correctas, sin embargo, ese no es el final de la historia. En algún momento, incluso con la automatización de múltiples aspectos de la defensa DDoS, desde contramedidas preinstaladas hasta la conexión con la mitigación basada en la nube, los seres humanos desempeñan un papel clave en la respuesta y defensa general. Los equipos de seguridad deben estar preparados para reconocer y responder a las amenazas sin dudarlo. La preparación es la clave para desarrollar los “reflejos organizacionales” para acelerar la respuesta al incidente cuando está bajo la presión de un ataque.
Los dispositivos IPS, firewalls y otros productos de seguridad son elementos esenciales de una estrategia de defensa en capas, pero están diseñados para resolver problemas de seguridad que son fundamentalmente diferentes de los productos dedicados de detección y mitigación de DDoS. Los dispositivos IPS, por ejemplo, bloquean los intentos de robo que causan el robo de datos. Mientras tanto, los firewalls actúan como implementadores de políticas para evitar el acceso no autorizado a los datos. Si bien estos productos de seguridad abordan eficazmente la “integridad y confidencialidad de la red”, no abordan una preocupación fundamental con respecto a los ataques DDoS: “disponibilidad de red”. La capacidad de defender una empresa y mantener la disponibilidad de los servicios depende directamente de cuán rápido pueda responder a estas amenazas múltiples. La nube es solo una solución parcial, ideal para esos grandes ataques, pero la acción real en la defensa DDoS es in situ, concluyó Ayala
