La mayor parte de los ciberataques que sufre Europa tienen su origen en el continente

La mayoría de los ataques provienen de direcciones IP de los Países Bajos, Estados Unidos, China, Rusia y Francia.

Europa sufre más ciberataques desde dentro de su propia geografía que cualquier otra región del mundo, según un nuevo análisis realizado por F5 Labs1.

F5 Labs, la unidad de inteligencia de ciberseguridad de la compañía F5 Networks, ha investigado el rastro de los ciberataques dirigidos a direcciones IP europeas desde el 1 de diciembre de 2018 hasta el 1 de marzo de 2019, comparando la situación con otras zonas como Estados Unidos, Canadá y Australia.

Países atacantes

Los sistemas informáticos europeos están siendo objetivo de ataques originados en todo el planeta, pero la mayor parte de los ataques llegan de 10 países en este orden: Países Bajos, Estados Unidos, China, Rusia, Francia, Irán, Vietnam, Canadá, India e Indonesia. Los Países Bajos lanzaron 1,5 veces más ataques contra sistemas europeos que Estados Unidos y China juntos y seis veces más que Indonesia.

Principales redes de ataque (ASNs) e ISPs

La red holandesa de HostPalace Web Solutions (ASN 133229) fue la más activa en número de ataques, seguida de la francesa Online SAS (ASN 12876). La siguiente fue NForce Entertainment (ASN 43350), también de los Países Bajos. Las tres empresas son proveedores de alojamiento web y aparecen habitualmente en las listas de redes más activas en generación de ciberataques de F5 Labs5.

El 72% de todas las ASNs1 registradas pertenecen a proveedores de servicios de Internet (ISPs). El 28% a proveedores de alojamiento web. Como parte de su análisis, F5 Labs también identificó las 50 direcciones IP que más ataques protagonizan a destinos en Europa2. F5 Labs insta a las organizaciones a que revisen los registros de sus redes en busca de conexiones con estas direcciones IP.

Los puertos más atacados

Al analizar los puertos más atacados4, F5 Labs pudo tener una idea del tipo de sistemas que más gustan a los hackers.

En Europa, el puerto más atacado fue el 5060, utilizado por el servicio de protocolo de inicio de sesión (SIP) para la conectividad de voz sobre IP (VoIP) en teléfonos y sistemas de videoconferencia. Este es un puerto especialmente atacado durante las cumbres políticas internacionales, como las recientes de Trump con Kim Jung Un6  y Vladimir Putin7. También son objetivo habitual el puerto 445 del bloque de mensajes del servidor de Microsoft (SMB) y el puerto 2222, que se usa comúnmente como un puerto shell seguro (SSH) no estándar.

Mantenerse seguro

F5 aconseja a las empresas llevar a cabo escaneos de vulnerabilidades externas de forma continua para poder descubrir qué sistemas están expuestos y sobre qué puertos específicos.

Cualquier sistema expuesto públicamente a los principales puertos abiertos atacados debería tener prioridad tanto para el firewall (como el puerto 445 de Microsoft Samba, o los puertos de SQL 3306 y 1433) como por las herramientas de gestión de vulnerabilidades. Además, las aplicaciones web que reciben tráfico sobre el puerto 80 deben estar protegidas con un firewall de aplicaciones web, deben analizarse continuamente para detectar posibles vulnerabilidades y deben tener prioridad en las tareas de gestión de vulnerabilidades.

F5 Labs también señala que muchos de los ataques dirigidos a puertos que soportan servicios de acceso como SSH son de fuerza bruta8, por lo que cualquier página de inicio de sesión pública tendría que implementar las protecciones adecuadas para este tipo de ataques.

“Los administradores de la red y los ingenieros de seguridad deberían revisar los registros de la red en busca de cualquier conexión con las principales IP de ataque. Si se detectan, deberían informar a los propietarios de las ASNs y a los ISPs para que procedan al cierre de estos sistemas o comprueben si el ataque se está originando en un dispositivo IoT infectado», afirma Sara Boddy, Directora de Investigación de Amenazas de F5 Labs.

“Es cierto que bloquear todo el tráfico de una red o de un ISP puede ser complicado e, incluso, contraproducente para el negocio, pero es posible que una organización no esté interesada en hacer negocios con un país en concreto. En ese caso, bloquear todo el tráfico proveniente de ese país puede ser una fórmula eficaz para evitar posibles ataques y ahorrar recursos”.

 

###

1F5 Labs, junto con su partner especializado en inteligencia de ciberamenazas Baffin Bay Networks, se propuso investigar el panorama global de ataques para comprender mejor su comportamiento en cada zona geográfica y averiguar qué atacantes y puertos se repiten. La investigación analizó los ataques durante el mismo período de 90 días en Europa, Estados Unidos, Canadá y Australia.

250 ASNs top en orden de mayor a menor con respecto a los ataques.

ASN ASN Organization Country Industry
133229 HostPalace Web Solution PVT LTD Netherlands Hosting
12876 Online S.a.s. France Hosting
43350 NForce Entertainment B.V. Netherlands ISP
16276 OVH SAS France Hosting
36352 ColoCrossing United States ISP
4134 Chinanet China ISP
50113 MediaServicePlus LLC Russia ISP
56005 Henan Telcom Union Technology Co., LTD China Hosting
45899 VNPT Corp Vietnam ISP
17974 PT Telekomunikasi Indonesia Indonesia ISP
4837 CNCGROUP China169 Backbone China ISP
44244 Iran Cell Service and Communication Company Iran ISP
3462 Data Communication Business Group Taiwan ISP
7552 Viettel Corporation Vietnam ISP
197207 Mobile Communication Company of Iran PLC Iran ISP
58271 FOP Gubina Lubov Petrivna Ukraine Hosting
8048 CANTV Servicios Venuzuela ISP
4766 Korea Telecom South Korea ISP
12880 Information Technology Company (ITC) Iran ISP
18403 The Corporation for Financing & Promoting Tech… Vietnam ISP
6739 Vodafone Ono, S.A. Spain ISP
45090 Shenzhen Tencent Computer Systems Company Limited China ISP
9121 Turk Telekom Turkey ISP
206792 IP Khnykin Vitaliy Yakovlevich Russia ISP
23650 CHINANET jiangsu province backbone China ISP
9829 National Internet Backbone India ISP
31549 Aria Shatel Company Ltd Iran ISP
8151 Uninet S.A. de C.V. Mexico ISP
49877 RM Engineering LLC Russia Hosting
12389 PJSC Rostelecom Russia ISP
9299 Philippine Long Distance Telephone Company Philippines ISP
4812 China Telecom (Group) China ISP
4808 China Unicom Beijing Province Network China ISP
8452 TE Data Norway ISP
16125 UAB Cherry Servers Lithuania Hosting
29073 Quasi Networks LTD. Netherlands Hosting
60999 Libatech SAL Lebanon ISP
31034 Aruba S.p.A. Italy Hosting
9498 BHARTI Airtel Ltd. India ISP
7922 Comcast Cable Communications, LLC United States ISP
44050 Petersburg Internet Network ltd. Russia ISP
60781 LeaseWeb Netherlands B.V. Netherlands Hosting
42590 Telemost LLC Ukraine Hosting
393406 Digital Ocean, Inc. United States Hosting
43754 Asiatech Data Transfer Inc PLC Iran Hosting
23969 TOT Public Company Limited Thailand ISP
18881 TELEFÔNICA BRASIL S.A Brazil ISP
16509 Amazon.com, Inc. United States Hosting
55577 Atria Convergence Technologies pvt ltd India ISP
4230 CLARO S.A. Brazil ISP

 

Note: El proveedor de hosting The Quasi Networks no respondió a las denuncias, ASN 29073 ha dejado de ser analizada desde el 24 de marzo de 2019.

3Las 50 direcciones IP desde las que más se atacó a objetivos europeos desde el 1 de diciembre de 2018 al 1 de marzo de 2019:

Las organizaciones deberían comprobar sus registros de red para ver las conexiones desde esas direcciones IP, y los propietarios de las redes deberían investigar los abusos que se producen desde esas direcciones IP. Las redes de estas IP aparecen en la lista de los principales ASN atacantes, pero estas IP de ataque son exclusivas de Europa, excepto 2: 62.210.83.136 y 46.166.151.117.

 

Source IP ASN Organization ASN ISP Country
23.249.175.100 ColoCrossing 36352 Net3 United States
42.51.231.67 Henan Telcom Union Technology Co., LTD 56005 CNISP-Union Technology (Beijing) Co. China
194.63.142.249 MediaServicePlus LLC 50113 MediaServicePlus LLC Russia
37.49.231.160 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
37.49.231.132 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
62.210.84.142 Online S.a.s. 12876 Free SAS France
185.53.88.46 Vitox Telecom 209299    Estonia
185.254.122.17 UGB Hosting OU 206485 Russia
37.49.231.188 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
167.114.1.144 OVH SAS 16276 OVH Hosting Canada
185.40.4.42 MediaServicePlus LLC 50113 MediaServicePlus LLC Russia
62.210.83.56 Online S.a.s. 12876 Free SAS France
167.114.208.173 OVH SAS 16276 OVH Hosting Canada
37.49.231.187 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
62.210.86.106 Online S.a.s. 12876 Free SAS France
62.210.86.117 Online S.a.s. 12876 Free SAS France
62.210.88.58 Online S.a.s. 12876 Free SAS France
62.210.83.104 Online S.a.s. 12876 Free SAS France

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio