Telconet CSOC-CSIRT ha detectado y documentado una campaña sostenida de ataques de Denegación de Servicio Distribuido (DDoS) de tipo TCP SYN Flood dirigida contra portales HTTPS (TCP/443) de organizaciones en múltiples sectores. La campaña, originada exclusivamente desde infraestructura ubicada en Brasil, se encuentra activa desde el 12 de marzo de 2026 y continúa al momento de la emisión de este boletín.
Ficha Técnica
| Clasificación | TLP: CLEAR |
| Emisor | CSOC-CSIRT, Telconet S.A. |
| Fecha de emisión | 06 de abril de 2026 |
| Período cubierto | 12 de marzo al 06 de abril de 2026 |
| Tipo de ataque | DDoS — TCP SYN Flood |
| Protocolo objetivo | HTTPS (TCP/443) |
| Naturaleza | No volumétrica — agotamiento de tabla TCP half-open |
| Origen geográfico | 🇧🇷 Brasil (verificado AbuseIPDB) |
| Sectores afectados | Gobierno, Financiero, Telecomunicaciones, Retail |
Descripción del Ataque
El ataque fue ejecutado mediante una botnet coordinada compuesta por decenas de subredes /24, todas con geolocalización en Brasil. A diferencia de los ataques volumétricos tradicionales, el objetivo principal fue el agotamiento de la tabla de conexiones TCP half-open: el atacante envía paquetes SYN masivamente sin completar el handshake TCP, dejando los servidores destino sin capacidad de responder a tráfico legítimo.
La campaña se desarrolló en cuatro fases diferenciadas entre el 12 y 19 de marzo, con persistencia
sostenida hasta la fecha de este boletín. En la Fase 4 (18 de marzo), decenas de IPs del rango
143.0.164.x–143.0.167.x dispararon de forma sincronizada en el mismo segundo, superando el evento 998 en
logs de herramientas perimetrales, evidenciando coordinación centralizada de botnet (C2).
Inteligencia de proveedores indica un incremento significativo de actividad maliciosa desde dispositivos IPTVbox comprometidos con geolocalización brasileña — dispositivos frecuentemente con firmware desactualizado y sin segmentación de red, susceptibles de reclutamiento en botnets de bajo costo operacional.
Como antecedente relevante, entre julio y septiembre de 2025 se registró una campaña de denegación de servicio similar pero dirigida al protocolo BGP (TCP/179), también originada desde IPs brasileñas. La recurrencia de ambas campañas desde el mismo origen geográfico, con escalada de Capa 3–4 (BGP) a Capa 7 (HTTPS), sugiere una tendencia sostenida y no un evento aislado.
Solución y Recomendaciones
- Geo-blocking de Brasil: Bloquear el tráfico de origen brasileño en interfaces con exposición pública donde no existan relaciones de negocio legítimas con ese país.
- Activar DoS Policy: Configurar políticas de protección DoS con umbrales de
tcp_syn_floodeip_connen interfaces expuestas para mitigación automática en tiempo real. - Habilitar SYN Cookies: Activar SYN Cookies en sistemas operativos de servidores expuestos para mitigar el agotamiento de la tabla TCP half-open a nivel de host.
- Rate limiting por IP origen: Configurar límites de conexiones simultáneas por IP en políticas permisivas para detectar y bloquear comportamientos de alto volumen automáticamente.
- Bloqueo preventivo de IoCs: Incorporar los rangos listados en la sección siguiente en listas negras de firewalls perimetrales, WAF y soluciones anti-DDoS (scrubbing centers, CDN).
- Auditar políticas permisivas: Aplicar el principio de mínimo privilegio en políticas de firewall con destino a zonas DMZ.
- Para infraestructura BGP: Revisar RPKI/ROA (validación de prefijos), autenticación MD5 en sesiones de peering y rate-limiting sobre TCP/179 en dispositivos de borde.
Indicadores de Compromiso (IoCs)
A continuación se presentan los rangos IP y nodos individuales identificados durante la campaña. Todos los indicadores tienen origen en Brasil y han sido verificados mediante geolocalización y AbuseIPDB.
| Indicador (IP / CIDR) | País | Observación |
|---|---|---|
186.233.228.0/24 –
231.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
190.111.129.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
209.14.24.0/24 – 27.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
179.49.184.0/24 – 187.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.233.224.0/24 – 227.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.189.204.0/24 – 207.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
177.54.122.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
186.194.200.0/24 – 207.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
131.161.48.0/24 – 51.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
138.255.220.0/24 – 223.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
170.254.144.0/24 – 147.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
177.75.236.0/24 – 239.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
143.0.164.0/24 – 167.0/24 | 🇧🇷 Brasil | Botnet masiva – Fase 4 |
170.247.236.0/24 – 239.0/24 | 🇧🇷 Brasil | Botnet – geo-blocking confirmado |
201.55.196.0/24 – 199.0/24 | 🇧🇷 Brasil | Botnet – geo-blocking confirmado |
131.255.53.0/24 – 55.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood |
45.205.1.8 | 🇧🇷 Brasil | Nodo principal – 2,526 reportes AbuseIPDB |
187.110.175.205 | 🇧🇷 Brasil | Nodo atacante – Fase 1 |
172.233.21.217 | 🇧🇷 Brasil | Nodo atacante – Fase 1 |
205.210.31.169 / .252 | 🇧🇷 Brasil | Nodo atacante – Fase 1 |
187.17.224.139 | 🇧🇷 Brasil | Nodo atacante – Fases 1, 4 |
191.234.200.215 | 🇧🇷 Brasil | Nodo atacante – Fase 2 |
186.194.200.221 | 🇧🇷 Brasil | Nodo atacante – Fase 3 |
45.186.164.187 | 🇧🇷 Brasil | Firma Suricata SYN Flood confirmada |
45.170.198.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
143.202.185.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
143.202.186.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.170.199.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
143.202.187.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
143.202.184.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
143.0.167.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
143.0.164.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
143.0.165.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
143.0.166.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.170.197.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.170.196.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.231.154.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.231.152.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.231.153.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.231.155.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.236.196.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.236.197.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.236.198.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.236.199.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.186.165.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.186.164.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
201.55.198.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
170.247.238.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
201.55.199.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
45.186.167.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
170.247.239.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
170.247.237.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
170.247.236.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
201.55.197.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
201.55.196.0/24 | 🇧🇷 Brasil | Botnet – SYN Flood HTTPS |
Contacto
Para consultas adicionales, envío de IoCs complementarios o coordinación de respuesta, comuníquese con el equipo CSOC-CSIRT de Telconet S.A.: csirt@telconet.ec