[Estado de Internet] / seguridad de Akamai
Resumen ejecutivo (T4 2016)
2 Descargue el informe completo en www.akamai.com/StateOfTheInternet
[Estado de Internet] / seguridad / resumen ejecutivo (T4 2016)
Acerca del resumen. Akamai es el principal
proveedor de redes de distribución de contenido (CDN,
por sus siglas en inglés) de todo el mundo y, gracias
a su plataforma Intelligent PlatformTM, distribuida
globalmente, procesa billones de transacciones de
Internet al día. Esto permite a la empresa recopilar
enormes cantidades de datos sobre diversos parámetros
relativos a la conectividad de banda ancha, la seguridad
en la nube y la distribución de contenido multimedia.
El programa Estado de Internet está diseñado para
aprovechar esos datos con el objeto de favorecer a las
empresas y los organismos públicos a la hora de tomar
decisiones inteligentes y estratégicas. Cada trimestre,
Akamai hace uso de dichos datos para publicar
informes en el programa Estado de Internet, donde se
abordan los asuntos de la conectividad de banda ancha
y la seguridad en la nube.
3 Descargue el informe completo en www.akamai.com/StateOfTheInternet
[Estado de Internet] / seguridad / resumen ejecutivo (T4 2016)
SEGURIDAD EN LA NUBE
ATAQUES DDoS [T4 de 2016 frente a T4 de 2015]
Aumento de un 4 % en el número total de ataques DDoS
Incremento de un 6 % en los ataques a la capa de infraestructura (capas 3 y 4)
Crecimiento del 22 % en los ataques basados en reflexión
Aumento del 140 % en el número de ataques superiores a 100 Gbps: 12 frente a 5
Ataques a aplicaciones web [T4 de 2016 frente a T4 de 2015]
Descenso del 19 % en el número total de ataques a aplicaciones web
Disminución del 53 % en los ataques con origen en EE. UU. (país actual de origen principal)
Aumento de un 44 % en los ataques SQLi
MAYOR ATAQUE
PROMEDIO DE ATAQUES POR
OBJETIVO
T2 201629
T3 201630
T4 2016
T3 2016
T4 2015
517 Gbps
623 Gbps
309 Gbps
T4 2016
30
Resumen del informe. El informe sobre el estado de Internet en materia de seguridad del cuarto trimestre de 2016 relaciona los datos de los ataques distribuidos de denegación de servicio (DDoS) en la red enrutada con los datos de ataques DDoS y a aplicaciones web obtenidos de Akamai Intelligent PlatformTM.
Información sobre DDoS. Los dispositivos del Internet de las cosas (IoT) no protegidos siguen constituyendo un importante origen de tráfico para los ataques DDoS. La rápida proliferación de estos dispositivos actúa como caldo de cultivo para los ataques, todo ello potenciado por el descubrimiento de nuevas vulnerabilidades y sistemas vulnerables. Los dispositivos que contribuyeron a los ataques de Mirai durante el tercer trimestre formaban parte de un pequeño subconjunto de la totalidad de dispositivos del IoT que hay en Internet, compuesto principalmente por cámaras y routers con IP. Seguiremos siendo testigos del aumento de las capacidades de estas redes y de los tamaños de los ataques DDoS conforme se vayan añadiendo dispositivos vulnerables a las botnets basadas en el IoT.
4 Descargue el informe completo en www.akamai.com/StateOfTheInternet
[Estado de Internet] / seguridad / resumen ejecutivo (T4 2016)
No obstante, hay elementos que contrarrestan esta tendencia. La Comisión Federal de Comercio (FTC) de EE. UU. ha llevado a los tribunales de California a un fabricante de routers inalámbricos para el mercado de consumo. El acusado puso a los consumidores en peligro al crear un software defectuoso y poco seguro para sus sistemas. Esta no es la primera vez que la FTC investiga a los productores por crear software con deficiencias de seguridad. Por ello, otros fabricantes deben plantearse estas acciones como una advertencia para que protejan sus sistemas.
Los ataques DDoS superiores a 300 Gbps son ahora más frecuentes. En 2016 se produjeron siete de los 10 ataques DDoS de más de 300 Gbps registrados por Akamai, con tres de ellos condensados en el cuarto trimestre del año. En comparación con el cuarto trimestre de 2015, se ha producido un aumento del 140 % en los ataques de más de 100 Gbps. Dos de los 12 megaataques que tuvieron lugar durante el cuarto trimestre de 2016 se dirigieron a empresas de software y tecnología, mientras que cinco de ellos centraron sus objetivos en el sector de los juegos. Las empresas de medios de comunicación y entretenimiento también sufrieron cinco megaataques, tres de los cuales alcanzaron o superaron los 300 Gbps.
11 oct.15 oct.17 oct.18 oct.1 nov.
13 nov.2 dic.4 dic.5 dic.
17 dic.17 dic.20 dic.
Gbps
Fech
a d
el a
taq
ue
Juegos Medios y entretenimiento Software y tecnología
261517
300306
173292
104163
122151
161157
Ataques DDoS de más de 100 Gbps, T4 de 2016
Doce ataques DDoS superaron los 100 Gbps en el T4 de 2016, con cinco de ellos mayores de 200 Gbps.
5 Descargue el informe completo en www.akamai.com/StateOfTheInternet
[Estado de Internet] / seguridad / resumen ejecutivo (T4 2016)
Mientras que las botnets de Mirai y el IoT llevan acaparando titulares desde el tercer trimestre, el ataque de mayor envergadura de este trimestre, de 517 Gbps, se inició en una botnet con un origen diferente: el kit de herramientas Spike DDoS. Spike es un tipo de malware que se asocia con mayor frecuencia a software malicioso basado en x86 Linux, como XOR y BillGates. Cuando el equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai publicó una advertencia sobre Spike en septiembre de 2014, el ataque más relevante registró un pico de 215 Gbps, menos de la mitad que en el trimestre actual, con 517 Gbps.
Los ataques DDoS superiores a 300 Gbps son novedosos, pero no inesperados. Al echar un vistazo a la historia de botnets en las que se ha situado el origen de los megaataques de mayor envergadura, identificamos a XOR a mediados de 2014; BillGates a finales de 2015; Kaiten, el predecesor de Mirai, en la primera mitad de 2016; Mirai en septiembre, y Spike en el cuarto trimestre. La mitad de los ataques de más de 300 Gbps hasta la fecha han tenido lugar entre septiembre y diciembre de 2016.
Ataques DDoS de más de 300 Gbps por botnet, de julio de 2014 a diciembre de 2016
16 oct.14 jul.
321
14 jul.
312
15 dic.
309
16 abr.
337
16 jun.
363
16 sep.
623
16 sep.
555517
16 oct.
300
16 oct.
306
Mirai BillGates Kaiten XOR Spike
Cuatro botnets generaron 10 ataques DDoS por encima de los 300 Gbps entre julio de 2014 y diciembre de 2016. De ellos, siete tuvieron lugar en 2016.
6 Descargue el informe completo en www.akamai.com/StateOfTheInternet
[Estado de Internet] / seguridad / resumen ejecutivo (T4 2016)
De los 25 vectores de ataque DDoS registrados este trimestre, los tres más importantes fueron fragmentos UDP (27 %), DNS (21 %) y NTP (15 %). A diferencia de los recursos del IoT, que van en aumento, los recursos NTP para los ataques DDoS están disminuyendo a medida que se aplican parches a los servidores y los servidores más antiguos se retiran del mercado. CHARGEN, el cuarto vector de ataque más usado, es un protocolo de prueba y medición utilizado por impresoras, y su posición en la lista nos hace preguntarnos por qué se usa de forma continuada si expone el servicio externamente.
Akamai añadió un nuevo vector de ataque DDoS de reflexión al informe de este trimestre: Protocolo ligero de acceso a directorios sin conexión (CLDAP). Los atacantes abusan del protocolo CLDAP para amplificar el tráfico DDoS. CLDAP se proporciona en redes de Windows para facilitar el acceso a información de autenticación para el inicio de sesión en la red.
Los tres principales países de origen de los ataques DDoS fueron EE. UU. (24 %), Reino Unido (10 %) y Alemania (7 %). Este resultado es inusual, y está provocado en parte por la botnet Mirai. Durante el pasado año, China dominó la lista de los 10 principales países de origen. En el cuarto trimestre de 2016, el gigante asiático cayó a la cuarta posición, registrando un tráfico del 6 %. Canadá ocupó la undécima posición, lo que supone un repunte significativo con respecto a trimestres anteriores.
El número medio de ataques DDoS permaneció estable este trimestre con 30 ofensivas por objetivo, lo que indica que, tras el primer ataque a una organización, es muy probable que se produzcan otras agresiones. Algunas empresas sufren ataques de forma casi continuada; las más afectadas padecieron de tres a cinco asaltos al día.
Estadísticas sobre ataques a aplicaciones web. Tres vectores representaron el 95 % de los ataques a aplicaciones este trimestre: la inyección SQL (SQLi), la inclusión local de archivos (LFI) y los scripts de sitios (XSS). Mientras que el uso combinado fue similar al del tercer trimestre, el de SQLi aumentó del 44 % (T2) al 49 % (T3) y al 51 % (T4) posteriormente, una subida del 44 % con respecto al T4 de 2015. A la vez, el empleo de LFI disminuyó del 45 % (T2) al 40 % (T3), y de ahí al 37 % (T4).
7 Descargue el informe completo en www.akamai.com/StateOfTheInternet
[Estado de Internet] / seguridad / resumen ejecutivo (T4 2016)
Akamai distribuyó un tráfico pico medio de 33 Tbps durante el periodo de Acción de Gracias en EE. UU., del 22 al 29 de noviembre. En este plazo de tiempo, se dirigió un número importante de ataques a aplicaciones web a cuatro subsectores verticales del retail, programados precisamente para la temporada de compras navideñas. Entre estos afectados había un grupo de retailers de ropa y calzado, sitios web regionales de una empresa de portales de productos dirigidos a consumidores, firmas de electrónica de consumo y organizaciones de medios de comunicación y entretenimiento.
Tras los ataques de Mirai en el tercer trimestre, Akamai realizó un análisis retrospectivo de los puertos 23 y 2323. Mirai utiliza estos puertos para iniciar sesión en grabadoras de vídeo digitales no protegidas (DVR) y sistemas de circuito cerrado de televisión (CCTV) con IP. Es posible que las versiones iniciales de Mirai tuvieran en mira los sistemas ya desde el 13 de mayo de 2016, cuando comenzó el mayor aumento de tráfico de análisis. A finales de julio se registró un segundo aumento, que podría haber sido provocado por la publicación al completo del código de Mirai.
SQLi
51,29 %
37,26 %
LFI
7,16 %
XSS
1,96 %
RFI
1,48 %
PHPi
0,85 %
Otros
Frecuencia de ataques a aplicaciones web, T4 2016
La combinación de SQLi y LFI representó el 88 % de los ataques a aplicaciones web observados.
8 Descargue el informe completo en www.akamai.com/StateOfTheInternet
[Estado de Internet] / seguridad / resumen ejecutivo (T4 2016)
EE. UU. y los Países Bajos fueron el primer y el segundo origen de ataques a aplicaciones web por segundo trimestre consecutivo, con Alemania en tercer lugar. Al revisar los datos de origen por región obtenemos información adicional. En América, los tres orígenes principales del tráfico de ataques a aplicaciones web fueron EE. UU., Brasil y Canadá, respectivamente. En EMEA, los principales orígenes fueron Países Bajos, Alemania y Rusia, por ese orden. En la región Asia-Pacífico, los principales orígenes fueron China, India y Japón, respectivamente.
Recursos. Acceda a estos recursos sobre ciberseguridad correspondientes al cuarto trimestre de 2016 desde Akamai:
1. Advertencia sobre amenazas de la botnet Mirai – Ataques y hallazgos previos a la publicación del código de Mirai y ataques posteriores a su divulgación
2. Advertencia sobre amenazas de reflexión mDNS – Abuso del protocolo del sistema de nombres de dominio de multidifusión en ataques contra el sector de los juegos, el software y la tecnología
3. El estado de la Dark Web en 2016 – Nuevas criptomonedas, panorama cambiante de mercados y productos ofrecidos, servicios de privacidad, e iniciativas de políticas y cumplimiento
Países de origen de los ataques a aplicaciones web globales, T4 de 2016
Los ataques a aplicaciones web tienen su origen en cualquier parte del mundo, con EE. UU. como el país de origen más prolífico.
País Ataques con origen en Porcentaje
EE. UU. 97 918 896 28 %
Países Bajos 61 499 919 17 %
Alemania 32 384 205 9,2 %
Brasil 19 379 729 5,5%
Rusia 16 643 150 4,7 %
China 14 275 358 4,0 %
Reino unido 11 908 055 3,4 %
Lituania 9 793 507 2,8 %
Francia 8 772 176 2,5 %
India 8 638 666 2,4 %
< 100 000 1 M – 5 M
10 M – 25 M
5 M – 10 M
N/A> 25 M
100 000 – 1 M
[Estado de Internet] / seguridad / resumen ejecutivo (T4 2016)
[Estado de Internet] / seguridad
Estado de Internet. Equipo de SeguridadMartin McKeay, experto principal en Seguridad, editor séniorJose Arteaga, Akamai SIRTAmanda Fakhreddine, editoraDave Lewis, especialista en Seguridad Larry Cashdollar, Akamai SIRTChad Seaman, Akamai SIRTJon Thompson, Análisis de Clientes Ryan Barnett, Unidad de Investigación de Amenazas Ezra Caltum, Unidad de Investigación de Amenazas DiseñoShawn Doughty, Dirección CreativaBrendan O'Hara, Dirección de Arte/Diseño
[email protected]: @akamai_soti/@akamaiwww.akamai.com/StateOfTheInternet
©2017 Akamai Technologies, Inc. Todos los derechos reservados. Se prohíbe la reproducción total o parcial de este documento, de cualquier forma o por cualquier medio, sin el consentimiento expreso y por escrito. Akamai y el logotipo de Akamai son marcas comerciales registradas. Las marcas comerciales que aparecen en este documento pertenecen a sus respectivos propietarios. Akamai considera que la información incluida en este documento a fecha de su publicación es correcta; dicha información está sujeta a cambios sin previo aviso. Publicado en febrero de 2017.
Akamai tiene su sede central en Cambridge, Massachusetts (Estados Unidos), con operaciones en más de 57 oficinas de todo el mundo. Nuestros servicios y reconocida atención al cliente permiten a las empresas ofrecer una experiencia en Internet incomparable a sus clientes de todo el mundo. Podrá encontrar las direcciones, números de teléfono e información de contacto de todas nuestras oficinas en www.akamai.com/locations.
Como líder mundial en servicios de redes de distribución de contenido (CDN, por sus siglas en inglés), Akamai ofrece a sus clientes una Internet más rápida, fiable y segura. Gracias a sus soluciones avanzadas de rendimiento web y móvil, seguridad en la nube y distribución de contenido, Akamai está revolucionando la manera en que las empresas optimizan las experiencias de clientes, empresariales y de entretenimiento desde cualquier dispositivo y desde cualquier lugar. Para obtener más información sobre cómo las soluciones de Akamai y su equipo de expertos en Internet están ayudando a otras empresas a avanzar más rápido, visite www.akamai.com o blogs.akamai.com, y siga a @Akamai en Twitter.
Descargar el informe completo
[Estado de Internet] / informe de seguridad (T4 2016)
