Brasil tem 25 milhões de dispositivos usados em ataques DDoS, alerta Nokia

O Brasil tornou-se um dos principais polos globais de origem de ataques de negação de serviço distribuído (DDoS), impulsionado pelo uso massivo de dispositivos residenciais comprometidos. Segundo Craig Labovitz, executivo da Nokia, cerca de 25 milhões de equipamentos instalados em residências brasileiras estariam atualmente envolvidos de forma recorrente nesse tipo de ataque.

Labovitz é foi cofundador da Deepfield em 2011, empresa adquirida pela Nokia em janeiro de 2017 e incorporada à área de IP and Optical Networks do grupo.

Durante apresentação técnica sobre botnets, proxies residenciais e a nova escala dos ataques DDoS, Labovitz afirmou que houve uma mudança estrutural no equilíbrio entre atacantes e defensores ao longo dos últimos 12 meses. “O Brasil está no epicentro dessa nova faixa de ameaças”, disse, em participação ma Semana de Infraestrutura da Internet no Brasil, realizada pelo NIC.br em São Paulo (SP).

De acordo com o executivo, até poucos anos atrás, os ataques de DDoS eram associados majoritariamente a botnets formadas por servidores ou dispositivos corporativos. Esse cenário começou a se alterar em 2023, quando Estados Unidos e Brasil passaram a figurar como principais origens globais desses ataques.

Nos últimos seis meses, a intensificação ocorreu com a expansão de redes de proxy residencial, baseadas em dispositivos domésticos como televisores conectados, câmeras, aplicativos Android e softwares gratuitos. “No Brasil, temos agora 25 milhões de residências comprometidas lançando ataques de DDoS regularmente”, disse Labovitz.

Segundo ele, essas infraestruturas surgiram inicialmente ligadas a crimes financeiros, mas passaram a ser reutilizadas para ataques de negação de serviço em larga escala. “O proxy residencial era entendido como problema de uma outra pessoa, mas, desde este ano, nós começamos a ver essa infraestrutura sendo usada para os ataques de DDoS”, afirmou.

A análise apresentada pela Nokia indica ainda forte concentração do controle dessas redes. “Se nós virmos amostras e olharmos a infraestrutura, não são 300, 400 empresas, são seis só”, disse, ao apontar que poucas organizações controlariam dezenas de milhões de nós, incluindo a maior parte dos dispositivos comprometidos no Brasil.

Para Labovitz, o impacto deixou de ser apenas corporativo. “Não é mais uma ameaça só para as empresas, é uma ameaça para os países”, afirmou, ao estimar capacidade potencial entre 100 e 150 terabits por segundo, suficiente para congestionar enlaces de backbone nacionais e internacionais.

Segundo o executivo, a resposta exige mudança estrutural na abordagem de segurança dos provedores. “A ameaça não vem de fora da rede. A ameaça normalmente é a sua própria rede”, disse. Ele defendeu a incorporação de mecanismos de mitigação diretamente nos roteadores das operadoras, além de maior coordenação entre ISPs e envolvimento das autoridades regulatórias.