Akamai Technologies, proveedor global en servicios de CDN (Content
Delivery Network – Red de Entrega de Contenidos), anuncia la
disponibilidad del Informe de Seguridad – Estado de Internet del Primer
Trimestre de 2015. El informe de este trimestre que ofrece un análisis y
visión sobre el panorama global de amenazas de ataques a la
seguridad
de la nube, puede descargarse en
www.stateoftheinternet.com/security-report.
En el informe del primer trimestre de 2015, hemos analizado miles de
ataques DDoS (Denegación de Servicio Distribuido) observados en la red
PLXrouted así como millones de disparadores de ataques a aplicaciones
web en la red Akamai Edge. Al aportar datos sobre ataques a aplicaciones
web, junto con informes detallados procedentes de nuestros equipos de
investigación en seguridad, podemos ofrecer una visión más holística de
Internet y de los ataques que ocurren a diario. Éste es nuestro mayor y
mejor informe de seguridad hasta la fecha. Este
informe ofrece un
estudio detallado de los ataques DDoS y establece una línea de partida
para los disparadores de ataques a aplicaciones web, así podremos
informar sobre las tendencias de ataques tanto a la red como a las capas
de aplicaciones en los próximos informes”.
Se dispara la actividad de ataques DDoS
El primer trimestre de 2015 establece un récord para el número de
ataques DDoS observados en la red PLXrouted: duplica el número
registrado en el primer trimestre de 2014 – y un incremento de más del
35 por ciento en comparación con el último trimestre. Sin embargo, el
perfil de ataques ha cambiado. El año pasado, los ataques de alto ancho
de banda y corta duración eran la norma. Pero en el primer trimestre de
2015, el ataque DDoS típico fue de menos de 10 gigabits por segundo
(Gbps) y duró más de 24 horas. Ha habido ocho mega-ataques en el primer
trimestre, cada uno de ellos superó los 100 Gbps. Aunque haya habido un
poco menos mega ataques que en el cuarto trimestre de 2014, ataques así
de grandes no se veían a menudo hace un año. El mayor ataque DDoS
observado en el primer trimestre de 2015 llegó a los 170 Gbps.
Durante el año pasado, los vectores de ataques DDoS también han
cambiado. Este trimestre, los ataques SSDP (Simple Service Discovery
Protocol – Protocolo Simple de Descubrimiento de Servicios)
representaron más del 20 por ciento de los vectores de ataques, mientras
que no se observó ningún ataque SSDP en el primer y segundo trimestre
de 2014. SSDP está habilitado por defecto en millones de dispositivos
domésticos y de oficina — incluyendo a routers, servidores de medios,
cámaras web, smart TVs e impresoras — para permitirles descubrirse entre
sí en una red, establecer comunicación y coordinar actividades. Se no
se securizan y/o no se configuran adecuadamente, estos dispositivos
ubicados en casa y conectados a
Internet pueden servir como reflectores.
Durante el primer trimestre de 2015, el sector de juegos fue una vez más
el más golpeado sufriendo más ataques DDoS que cualquier otra
industria. El sector juegos siguió siendo el principal objetivo desde el
segundo trimestre de 2014, siendo el blanco del 35 por ciento de los
ataques DDoS. El sector del software y tecnología fue el segundo
objetivo en el primer trimestre de 2015, con un 25 por ciento de los
ataques.
Comparado con el primer trimestre de 2014
- Incremento de 116,5 por ciento del total de ataques DDoS
- Incremento del 59,83 por ciento de los ataques a la capa de aplicaciones (Layer 7)
- Incremento del 124,69 por ciento de ataques DDoS a la capa de infraestructura (Layer 3 & 4)
- Incremento del 42,8 por ciento en la duración media de los ataques: 24,82 vs 17,38 horas
Comparado con el cuarto trimestre de 2014
- Incremento del 32,24 por ciento del total de ataques DDoS
- Incremento del 22,22 por ciento de los ataques a la capa de aplicaciones (Layer 7)
- Incremento del 36,74 por ciento de los ataques DDoS a la capa de infraestructura (Layer 3 & 4)
- Descenso del 15,37 por ciento en la duración media de los ataques: 24,82 vs 29,33 horas
Un vistazo a los siete vectores de ataques a aplicaciones web más comunes
Para el primer trimestre de 2015, Akamai ha concentrado su análisis en
los siete vectores de ataques a aplicaciones web más comunes, que
alcanzaron 178,85 millones de ataques a aplicaciones web observados en
la red
Akamai Edge. Estos vectores incluyeron a la inyección SQL (SQLi),
inclusión de fichero local (LFI), inclusión de fichero remoto (RFI),
inyección PHP (PHPi), inyección de comando (CMDi), inyección OGNL Java
(JAVAi) y subida de ficheros maliciosos (MFU).
Durante el primer trimestre de 2015, más del 66 por ciento de los
ataques a aplicaciones web fue atribuido a ataques LFI. Esto fue
impulsado por una campaña masiva contra dos grandes retailers en marzo,
dirigida al plugin WordPress RevSlider.
Los ataques SQLi también fueron bastante comunes, representando más del
29 por ciento de los ataques a aplicaciones web. Una parte sustancial de
los ataques SQLi fue relacionada a campañas de ataques contra dos
empresas de la industria de viajes y hotelera. Los otros cinco vectores
representaron el cinco por ciento restante de ataques.
Por lo tanto, el sector retail fue el que recibió más ataques a
aplicaciones web, seguido por los sectores de medios y ocio, hotelero y
de viajes.
La creciente amenaza de los sitios de booter/stresser
El repertorio de vectores de ataques de fácil uso encontrado en el
mercado de DDoS para alquilar (DDoS-for-hire) facilita que se desestime
la efectividad de los atacantes que los emplea. Hace un año, el tráfico
de ataques pico que utilizaba estas tácticas desde sitios de
booter/stresser medían normalmente de 10 a 20 Gbps por segundo. Ahora,
estos sitios de ataques se han vuelto más peligrosos y son capaces de
lanzar ataques de más de 100 Gbps. Al añadirse nuevos métodos de ataques
de reflexión de forma continua, como SSDP, se espera que el daño
potencial que generen crezca en el tiempo.
La adopción de IPv6 conlleva nuevos riesgos de seguridad
Los ataques DDoS en IPv6 no son todavía un hecho común, pero hay
indicios de que los actores maliciosos han empezado a probar y buscar
métodos de ataques DDoS en IPv6. Un nuevo conjunto de riesgos y retos
asociados con la transición a IPv6 ya está afectando a los proveedores
cloud así como a los propietarios de redes domésticas y corporativas.
Muchos ataques DDoS en IPv4 pueden ser replicados utilizando protocolos
IPv6, aunque algunos vectores de ataques nuevos están directamente
relacionados con la arquitectura IPv6. Muchas de las funciones de IPv6
podrían permitir a los atacantes superar las protecciones basadas en
IPv4, creando una superficie de ataques DDoS más grande y posiblemente
más efectiva. El informe de
seguridad del primer trimestre subraya
algunos riesgos y retos que nos esperan.
Los ataques de inyección SQL van más allá del robo de datos
Aunque los ataques de inyección SQL hayan sido documentados desde 1998,
su uso ha crecido. Los efectos de estas solicitudes maliciosas pueden
extenderse más allá de la simple exfiltración de datos y causar más
daños que una mera violación de datos. Estos ataques pueden utilizarse
para elevar privilegios, ejecutar comandos, infectar o corromper datos,
denegar servicios, etc. Los investigadores de Akamai analizaron más de 8
millones de ataques de inyección SQL desde el primer trimestre de 2015
para descubrir los métodos y objetivos más frecuentes.
Alteraciones de sitios web y robo de dominios
Cientos de empresas de alojamiento web ofrecen alojamiento por unos
pocos dólares mensuales. En estos casos, la compañía que aloja puede
alojar múltiples cuentas en el mismo servidor. Esto puede tener como
resultado cientos de dominios y sitios que funcionan bajo la misma
dirección IP de servidor, lo que puede permitir que actores maliciosos
roben múltiples sitios web a la vez. Una vez que un sitio haya sido
comprometido, un actor malicioso puede atravesar los directorios del
servidor y leer las listas de nombres de usuarios y contraseñas para
acceder a ficheros de otras cuentas de clientes. Esto puede incluir las
credenciales de base de datos del sitio web. Con esta información, los
atacantes podrían tener la capacidad de cambiar ficheros en cada sitio
que se encuentra en el servidor. El informe de seguridad del primer
trimestre incluye una explicación de la vulnerabilidad y de las medidas
defensivas recomendadas.
Informes: http://www.stateoftheinternet.com/downloads/pdfs/Exec-Summary-052515.pdf
Gráficos: http://www.stateoftheinternet.com/downloads/pdfs/soti_q115-figures.zip