Akamai Technologies, el líder global en servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), anuncia la disponibilidad del Informe de Seguridad – Estado de Internet del Primer Trimestre de 2015. El informe de este trimestre que ofrece un análisis y visión sobre el panorama global de amenazas de ataques a la seguridad de la nube, puede descargarse en www.stateoftheinternet.com/security-report.
“En el informe del primer trimestre de 2015, hemos analizado miles de ataques DDoS (Denegación de Servicio Distribuido) observados en la red PLXrouted así como millones de disparadores de ataques a aplicaciones web en la red Akamai Edge. Al aportar datos sobre ataques a aplicaciones web, junto con informes detallados procedentes de nuestros equipos de investigación en seguridad, podemos ofrecer una visión más holística de Internet y de los ataques que ocurren a diario,” dijo John Summers, Vicepresidente de la Unidad de Negocio de Seguridad de la Nube de Akamai. “Éste es nuestro mayor y mejor informe de seguridad hasta la fecha. Este informe ofrece un estudio detallado de los ataques DDoS y establece una línea de partida para los disparadores de ataques a aplicaciones web, así podremos informar sobre las tendencias de ataques tanto a la red como a las capas de aplicaciones en los próximos informes.”
Se dispara la actividad de ataques DDoS
El primer trimestre de 2015 establece un récord para el número de ataques DDoS observados en la red PLXrouted: duplica el número registrado en el primer trimestre de 2014 – y un incremento de más del 35 por ciento en comparación con el último trimestre. Sin embargo, el perfil de ataques ha cambiado. El año pasado, los ataques de alto ancho de banda y corta duración eran la norma. Pero en el primer trimestre de 2015, el ataque DDoS típico fue de menos de 10 gigabits por segundo (Gbps) y duró más de 24 horas. Ha habido ocho mega-ataques en el primer trimestre, cada uno de ellos superó los 100 Gbps. Aunque haya habido un poco menos mega ataques que en el cuarto trimestre de 2014, ataques así de grandes no se veían a menudo hace un año. El mayor ataque DDoS observado en el primer trimestre de 2015 llegó a los 170 Gbps.
Durante el año pasado, los vectores de ataques DDoS también han cambiado. Este trimestre, los ataques SSDP (Simple Service Discovery Protocol – Protocolo Simple de Descubrimiento de Servicios) representaron más del 20 por ciento de los vectores de ataques, mientras que no se observó ningún ataque SSDP en el primer y segundo trimestre de 2014. SSDP está habilitado por defecto en millones de dispositivos domésticos y de oficina — incluyendo a routers, servidores de medios, cámaras web, smart TVs e impresoras — para permitirles descubrirse entre sí en una red, establecer comunicación y coordinar actividades. Se no se securizan y/o no se configuran adecuadamente, estos dispositivos ubicados en casa y conectados a Internet pueden servir como reflectores.
Durante el primer trimestre de 2015, el sector de juegos fue una vez más el más golpeado sufriendo más ataques DDoS que cualquier otra industria. El sector juegos siguió siendo el principal objetivo desde el segundo trimestre de 2014, siendo el blanco del 35 por ciento de los ataques DDoS. El sector del software y tecnología fue el segundo objetivo en el primer trimestre de 2015, con un 25 por ciento de los ataques.
Comparado con el primer trimestre de 2014
- Incremento de 116,5 por ciento del total de ataques DDoS
- Incremento del 59,83 por ciento de los ataques a la capa de aplicaciones (Layer 7)
- Incremento del 124,69 por ciento de ataques DDoS a la capa de infraestructura (Layer 3 & 4)
- Incremento del 42,8 por ciento en la duración media de los ataques: 24,82 vs 17,38 horas
Comparado con el cuarto trimestre de 2014
- Incremento del 32,24 por ciento del total de ataques DDoS
- Incremento del 22,22 por ciento de los ataques a la capa de aplicaciones (Layer 7)
- Incremento del 36,74 por ciento de los ataques DDoS a la capa de infraestructura (Layer 3 & 4)
- Descenso del 15,37 por ciento en la duración media de los ataques: 24,82 vs 29,33 horas
Un vistazo a los siete vectores de ataques a aplicaciones web más comunes
Para el primer trimestre de 2015, Akamai ha concentrado su análisis en los siete vectores de ataques a aplicaciones web más comunes, que alcanzaron 178,85 millones de ataques a aplicaciones web observados en la red Akamai Edge. Estos vectores incluyeron a la inyección SQL (SQLi), inclusión de fichero local (LFI), inclusión de fichero remoto (RFI), inyección PHP (PHPi), inyección de comando (CMDi), inyección OGNL Java (JAVAi) y subida de ficheros maliciosos (MFU).
Durante el primer trimestre de 2015, más del 66 por ciento de los ataques a aplicaciones web fue atribuido a ataques LFI. Esto fue impulsado por una campaña masiva contra dos grandes retailers en marzo, dirigida al plugin WordPress RevSlider.
Los ataques SQLi también fueron bastante comunes, representando más del 29 por ciento de los ataques a aplicaciones web. Una parte sustancial de los ataques SQLi fue relacionada a campañas de ataques contra dos empresas de la industria de viajes y hotelera. Los otros cinco vectores representaron el cinco por ciento restante de ataques.
Por lo tanto, el sector retail fue el que recibió más ataques a aplicaciones web, seguido por los sectores de medios y ocio, hotelero y de viajes.
La creciente amenaza de los sitios de booter/stresser
El repertorio de vectores de ataques de fácil uso encontrado en el mercado de DDoS para alquilar (DDoS-for-hire) facilita que se desestime la efectividad de los atacantes que los emplea. Hace un año, el tráfico de ataques pico que utilizaba estas tácticas desde sitios de booter/stresser medían normalmente de 10 a 20 Gbps por segundo. Ahora, estos sitios de ataques se han vuelto más peligrosos y son capaces de lanzar ataques de más de 100 Gbps. Al añadirse nuevos métodos de ataques de reflexión de forma continua, como SSDP, se espera que el daño potencial que generen crezca en el tiempo.
La adopción de IPv6 conlleva nuevos riesgos de seguridad
Los ataques DDoS en IPv6 no son todavía un hecho común, pero hay indicios de que los actores maliciosos han empezado a probar y buscar métodos de ataques DDoS en IPv6. Un nuevo conjunto de riesgos y retos asociados con la transición a IPv6 ya está afectando a los proveedores cloud así como a los propietarios de redes domésticas y corporativas. Muchos ataques DDoS en IPv4 pueden ser replicados utilizando protocolos IPv6, aunque algunos vectores de ataques nuevos están directamente relacionados con la arquitectura IPv6. Muchas de las funciones de IPv6 podrían permitir a los atacantes superar las protecciones basadas en IPv4, creando una superficie de ataques DDoS más grande y posiblemente más efectiva. El informe de seguridad del primer trimestre subraya algunos riesgos y retos que nos esperan.
Los ataques de inyección SQL van más allá del robo de datos
Aunque los ataques de inyección SQL hayan sido documentados desde 1998, su uso ha crecido. Los efectos de estas solicitudes maliciosas pueden extenderse más allá de la simple exfiltración de datos y causar más daños que una mera violación de datos. Estos ataques pueden utilizarse para elevar privilegios, ejecutar comandos, infectar o corromper datos, denegar servicios, etc. Los investigadores de Akamai analizaron más de 8 millones de ataques de inyección SQL desde el primer trimestre de 2015 para descubrir los métodos y objetivos más frecuentes.
Alteraciones de sitios web y robo de dominios
Cientos de empresas de alojamiento web ofrecen alojamiento por unos pocos dólares mensuales. En estos casos, la compañía que aloja puede alojar múltiples cuentas en el mismo servidor. Esto puede tener como resultado cientos de dominios y sitios que funcionan bajo la misma dirección IP de servidor, lo que puede permitir que actores maliciosos roben múltiples sitios web a la vez. Una vez que un sitio haya sido comprometido, un actor malicioso puede atravesar los directorios del servidor y leer las listas de nombres de usuarios y contraseñas para acceder a ficheros de otras cuentas de clientes. Esto puede incluir las credenciales de base de datos del sitio web. Con esta información, los atacantes podrían tener la capacidad de cambiar ficheros en cada sitio que se encuentra en el servidor. El informe de seguridad del primer trimestre incluye una explicación de la vulnerabilidad y de las medidas defensivas recomendadas.
Descargue el informe
Está disponible una copia gratuita del Informe de Seguridad – Estado de Internet del Primer Trimestre de 2015 en PDF en www.stateoftheinternet.com/security-report.