La serie de desbordamiento del informe Tsubame examina las tendencias del monitoreo de los sensores Tsubame en Japón y otros aspectos que no están incluidos en los informes de monitoreo de amenazas de Internet. Este análisis es parte de los resultados de monitoreo del período de octubre a diciembre de 2024.
Observación de Paquetes de Reflexión de Sitios Web en Japón
En JPCERT/CC, se lleva a cabo un análisis diario de los datos recopilados por Tsubame, donde se han identificado paquetes enviados a sitios web con direcciones IP falsificadas, un método común para ejecutar ataques DDoS. Durante diciembre de 2024, se registraron ataques dirigidos a importantes sitios web corporativos que utilizan este tipo de paquetes de reflexión. Estos paquetes fueron detectados, en su mayoría, desde redes de bancos, empresas de impresión, compañías de valores y aerolíneas. Se observó un patrón persistente en ciertos atacantes, lo que sugiere que estas entidades operan en el foco de los ataques. Para mitigar los impactos de los DDoS, las recomendaciones incluyen el uso de Redes de Entrega de Contenidos (CDN), la implementación de medidas alternas y el establecimiento de métodos de comunicación con los usuarios durante los ataques. Además, JPCERT/CC comparte sus hallazgos con proveedores de servicios relevantes para mejorar la preparación ante posibles ataques.
Comparación de Tendencias de Observación en Japón y en el Extranjero
El análisis de los datos también incluye una comparación entre la actividad en Japón y en el extranjero. Se observa que los sensores ubicados fuera de Japón registraron un mayor número de paquetes en comparación con los sensores nacionales. Esto sugiere diferencias en la actividad de red y en las amenazas que enfrentan las infraestructuras en distintos contextos geográficos.
Comparativa de Monitoreo por Sensor
Cada sensor Tsubame tiene asignada una dirección IP global y se ha realizado una comparación de los puertos que más recibieron paquetes en los sensores nacionales y extranjeros. La mayoría de los sensores, independientemente de su ubicación, mostraron una concentración en paquetes de protocolos específicos, como 23/TCP, 8728/TCP, 22/TCP, y 80/TCP. Esto indica que hay escaneos enfocados en un conjunto común de protocolos a través de diversas redes. Los datos reflejados en la tabla de los diez principales puertos evidencian la involucración de estos protocolos tanto en Japón como en el extranjero, aunque el orden puede variar entre los diferentes sensores.
Consideraciones Finales
El monitoreo desde varias ubicaciones permite discernir si los cambios observados son específicos de una red particular o si tienen un alcance más amplio. Aunque este trimestre no se han emitido alertas especiales o información adicional significativa, se enfatiza la importancia de seguir de cerca los escáneres de red debido a su potencial para desencadenar problemas mayores. A medida que los informes de monitoreo de amenazas de Internet continúan siendo recopilados, se espera que se publique información actualizada y que se comuniquen cualquier cambio inusual en la actividad de red. El informe invita a la retroalimentación del público sobre temas que desean se aborden en futuras publicaciones, demostrando un compromiso con la mejora continua en la cobertura de ciberseguridad.
Keisuke Shikano, con la traducción de Takumi Nakano, resalta la importancia de la vigilancia en la ciberseguridad y la colaboración entre diferentes actores para mejorar la defensa frente a las crecientes amenazas en los entornos digitales.