Akamai Technologies, empresa de servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), ha realizado el Informe de Seguridad. Estado de Internet del Primer Trimestre de 2015. El informe de este trimestre ofrece un análisis y visión sobre el panorama global de amenazas de ataques a la seguridad de la nube. "En el […]
Dirigentes Digital
| 24 may 2015
Akamai Technologies, empresa de servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), ha realizado el Informe de Seguridad. Estado de Internet del Primer Trimestre de 2015. El informe de este trimestre ofrece un análisis y visión sobre el panorama global de amenazas de ataques a la seguridad de la nube.
"En el informe del primer trimestre de 2015, hemos analizado miles de ataques DDoS (Denegación de Servicio Distribuido) observados en la red PLXrouted así como millones de disparadores de ataques a aplicaciones web en la red Akamai Edge. Al aportar datos sobre ataques a aplicaciones web, junto con informes detallados procedentes de nuestros equipos de investigación en seguridad, podemos ofrecer una visión más holística de Internet y de los ataques que ocurren a diario," afirma John Summers, vicepresidente de la Unidad de Negocio de Seguridad de la Nube de Akamai.
El primer trimestre de 2015 establece un récord para el número de ataques DDoS observados en la red PLXrouted: duplica el número registrado en el primer trimestre de 2014 y un incremento de más del 35% en comparación con el último trimestre. Sin embargo, el perfil de ataques ha cambiado. El año pasado, los ataques de alto ancho de banda y corta duración eran la norma. Pero en el primer trimestre de 2015, el ataque DDoS típico fue de menos de 10 gigabits por segundo (Gbps) y duró más de 24 horas. Ha habido ocho mega-ataques en el primer trimestre, cada uno de ellos superó los 100 Gbps. Aunque haya habido un poco menos mega ataques que en el cuarto trimestre de 2014, ataques así de grandes no se veían a menudo hace un año. El mayor ataque DDoS observado en el primer trimestre de 2015 llegó a los 170 Gbps.
Durante el año pasado, los vectores de ataques DDoS también han cambiado. Este trimestre, los ataques SSDP (Simple Service Discovery Protocol – Protocolo Simple de Descubrimiento de Servicios) representaron más del 20% de los vectores de ataques, mientras que no se observó ningún ataque SSDP en el primer y segundo trimestre de 2014. SSDP está habilitado por defecto en millones de dispositivos domésticos y de oficina (incluyendo a routers, servidores de medios, cámaras web, smart TVs e impresoras) para permitirles descubrirse entre sí en una red, establecer comunicación y coordinar actividades. Se no se securizan y/o no se configuran adecuadamente, estos dispositivos ubicados en casa y conectados a Internet pueden servir como reflectores.
Los siete vectores de ataques a aplicaciones web más comunes
Para el primer trimestre de 2015, Akamai ha concentrado su análisis en los siete vectores de ataques a aplicaciones web más comunes, que alcanzaron 178,85 millones de ataques a aplicaciones web observados en la red Akamai Edge. Estos vectores incluyeron a la inyección SQL (SQLi), inclusión de fichero local (LFI), inclusión de fichero remoto (RFI), inyección PHP (PHPi), inyección de comando (CMDi), inyección OGNL Java (JAVAi) y subida de ficheros maliciosos (MFU).
El sector retail fue el que recibió más ataques a aplicaciones web, seguido por los sectores de medios y ocio, hotelero y de viajes.
La creciente amenaza de los sitios de booter/stresser
El repertorio de vectores de ataques de fácil uso encontrado en el mercado de DDoS para alquilar (DDoS-for-hire) facilita que se desestime la efectividad de los atacantes que los emplea. Hace un año, el tráfico de ataques pico que utilizaba estas tácticas desde sitios de booter/stresser medían normalmente de 10 a 20 Gbps por segundo. Ahora, estos sitios de ataques se han vuelto más peligrosos y son capaces de lanzar ataques de más de 100 Gbps. Al añadirse nuevos métodos de ataques de reflexión de forma continua, como SSDP, se espera que el daño potencial que generen crezca en el tiempo.
La adopción de IPv6 conlleva nuevos riesgos de seguridad
Los ataques DDoS en IPv6 no son todavía un hecho común, pero hay indicios de que los actores maliciosos han empezado a probar y buscar métodos de ataques DDoS en IPv6. Un nuevo conjunto de riesgos y retos asociados con la transición a IPv6 ya está afectando a los proveedores cloud así como a los propietarios de redes domésticas y corporativas. Muchos ataques DDoS en IPv4 pueden ser replicados utilizando protocolos IPv6, aunque algunos vectores de ataques nuevos están directamente relacionados con la arquitectura IPv6. Muchas de las funciones de IPv6 podrían permitir a los atacantes superar las protecciones basadas en IPv4, creando una superficie de ataques DDoS más grande y posiblemente más efectiva. El informe de seguridad del primer trimestre subraya algunos riesgos y retos que nos esperan.
Los ataques de inyección SQL van más allá del robo de datos
Aunque los ataques de inyección SQL hayan sido documentados desde 1998, su uso ha crecido. Los efectos de estas solicitudes maliciosas pueden extenderse más allá de la simple exfiltración de datos y causar más daños que una mera violación de datos. Estos ataques pueden utilizarse para elevar privilegios, ejecutar comandos, infectar o corromper datos, denegar servicios, etc. Los investigadores de Akamai analizaron más de 8 millones de ataques de inyección SQL desde el primer trimestre de 2015 para descubrir los métodos y objetivos más frecuentes.
Alteraciones de sitios web y robo de dominios
Cientos de empresas de alojamiento web ofrecen alojamiento por unos pocos dólares mensuales. En estos casos, la compañía que aloja puede alojar múltiples cuentas en el mismo servidor. Esto puede tener como resultado cientos de dominios y sitios que funcionan bajo la misma dirección IP de servidor, lo que puede permitir que actores maliciosos roben múltiples sitios web a la vez. Una vez que un sitio haya sido comprometido, un actor malicioso puede atravesar los directorios del servidor y leer las listas de nombres de usuarios y contraseñas para acceder a ficheros de otras cuentas de clientes. Esto puede incluir las credenciales de base de datos del sitio web. Con esta información, los atacantes podrían tener la capacidad de cambiar ficheros en cada sitio que se encuentra en el servidor.