December 3, 2021
De parte de Nodo50
235 puntos de vista


El proveedor de servicios de internet Nodo50 publicaba este 30 de noviembre la primera parte del informe sobre el ataque inform谩tico a sus servidores acaecido entre el 19 y el 23 de noviembre, una acci贸n que tuvo como objetivo tumbar las web de El Salto y La Marea, entre otros medios de comunicaci贸n y p谩ginas web. En el escrito, la asamblea de Nodo50 se帽alaba que, 鈥減or la forma en que se desarroll贸, parece que se trataba de una 煤nica persona, al menos en lo que se refiere a la parte t茅cnica de ejecutar el ataque鈥. Esta persona pudo estar, presuntamente, oculta tras una cuenta falsa de Twitter, seg煤n se desprende de conversaciones que tuvo con los responsables del proveedor de internet a trav茅s de dicha red social. 

Sin embargo, la ejecuci贸n de un ataque de denegaci贸n de servicio (DDoS) es solo una de las capas de un proceso complejo. Este tipo de acciones consiste en saturar un servidor a base de peticiones. En concreto, este ataque supuso para las webs alojadas en Nodo50 millones de peticiones desde 27.000 direcciones IP diferentes. Una IP se identifica con un dispositivo que puede ser desde un m贸vil cualquiera o un ordenador hasta una nevera inteligente. Este conjunto de dispositivos infectados por un software malicioso que operan en conjunto de forma sincronizada se denomina botnet. Es decir, para ejecutar un ataque de este tipo tienes que tener un n煤mero de dispositivos infectados suficiente como para saturar de peticiones a tu objetivo.

鈥淒epender de un servicio de alojamiento norteamericano o de una multinacional de seguridad estadounidense compromete tu independencia de la misma forma que lo hace tener publicidad del Ibex35鈥, dicen desde Nodo50

Cuando se infecta un dispositivo con un virus, lo m谩s sencillo que puedes pedirle es que env铆e una se帽al, lo que puede llegar a ser pr谩cticamente indetectable. Infectarlo para que reciba se帽ales o ejecute funciones es m谩s dif铆cil, pero para un ataque DDoS solo necesitas que las env铆e. 鈥淢谩s del 20% de las IP de uno de los ataques pertenecen al mayor proveedor de 4G de India, Jio, lo que parece indicar que se trata de una botnet formada por tel茅fonos comprometidos por la instalaci贸n de aplicaciones maliciosas鈥, se帽ala Nodo50 en su informe. Normalmente son aplicaciones falsas que simulan ser oficiales o que ofrecen servicios gratuitos, como una red virtual privada VPN.

En resumen, la persona que ejecut贸 el ataque ‘manejaba’ las consolas que controlaban estos dispositivos pero no tuvo por qu茅 ser ella quien dise帽贸 el virus e infect贸 estos tel茅fonos. De hecho, muy probablemente no lo fue, ya que es mucho m谩s f谩cil acceder a botnets creadas que se alquilan y venden por internet. En conversaciones con Nodo50, uno de sus responsables se帽ala que 鈥渟eguramente estaba en un panel de control contratado por horas porque los ataques ten铆an duraciones exactas y paraban justo en horas puntas, que es lo que pasa cuando pagas por tiempo鈥.

Ataque barato

驴Cu谩nto ha podido costar este ciberataque? Es una cifra dif铆cil de calcular, ya que hablamos de un mercado en el que los precios fluct煤an mucho y se negocian en torno a las particularidades de cada caso. Varias fuentes consultadas apuntan a que se tratan de ataques baratos. En concreto, el ataque de 116 horas con 27.000 dispositivos podr铆a oscilar entre los 2.000 y los 8.000 euros. Desde Nodo50 apuntan a que pueden llegar a costar mucho menos, tan solo 1.000 euros. De hecho, en 2021 se calcula que han podido ejecutarse 11 millones de ataques de este tipo.

A pesar de que nos imaginemos que este tipo de ataques se contratan en la deep web, que tambi茅n, a trav茅s de una r谩pida b煤squeda en internet con palabras claves determinadas podemos encontrar que este tipo de servicios se ofrecen tambi茅n en las capas m谩s superficiales y accesibles de la red: hay adolescentes que los contratan para ‘tirar’ a sus contrincantes en videojuegos, por ejemplo.

El modelo de negocio de Cloudflare parece compatible con ofrecer su plataforma y servicios a aquellos que lanzan los ataques

Una tipolog铆a de estos ataques ofrecidos son los llamados stressers, servicios de oferta de ataques de este tipo que sirven para estresar o poner a prueba las redes y servidores de empresas que los contratan, de forma que puedas 鈥渆valuar鈥 su capacidad de defensa ante un ataque real. Estos servicios utilizan botnets supuestamente controladas y creadas ex profeso para este fin comercial. 鈥淟os stressers usan Cloudflare para proteger sus webs comerciales, y Cloudflare lo consiente鈥, afirman desde el proveedor de servicios.

La red de CloudFlare

CloudFlare es una empresa que posee la infraestructura y ofrece las herramientas para mitigar este tipo de ataques por fuerza. Provee servicios que van una capa por encima de los servidores, pero se trata de una capa que se extiende por gran parte del internet que conocemos. La raz贸n, seg煤n apuntan desde Nodo50, es que 鈥減or apenas 10 euros al mes te ofrecen una defensa estable contra este tipo de ataques鈥. Al tener acceso a gran parte del tr谩fico cifrado de internet, poseen una visibilidad enorme, lo que les permite crear distintos filtros para mitigar este tipo de ataques. Es decir, cuanto mayor es el porcentaje de internet que accede a tus servicios, m谩s f谩cil es mitigar este tipo de ataques. 

Seg煤n sus propios datos, CloudFlare ofrece servicios a 6 millones de sitios web, entre los que est谩n Uber, Discord o Fitbit. La empresa nace en 2009, fundada por tres personas que proven铆an de The Honey Pot Project, una compa帽铆a dedicada a crear se帽uelos para atraer ataques de hackers y as铆 recopilar datos de los mismos y aprender de ellos y guardar informaci贸n para desarrollar herramientas contra los mismos. En 2014 CloudFlare mitig贸 el mayor ataque DdoS conocido hasta el momento y justamente en ese a帽o recibi贸 la mayor suma de captaci贸n de fondos de su historia, 110 millones de d贸lares, en la que participaron, entre otras empresas, Google, Microsoft Qualcom y Baidu.

La fortaleza de CloudFlare reside en tender hacia el monopolio de un mercado orientado hacia un 谩rea muy concreta de la ciberseguridad: este tipo de ataques f谩ciles y baratos de contratar

La empresa goza de una credibilidad como defensora de la pol铆tica de la neutralidad en la red, su director general, Mathew Prince, declar贸 que 鈥渘ing煤n proveedor tiene la obligaci贸n expl铆cita de supervisar y tomar decisiones sobre la hipot茅tica naturaleza perjudicial del discurso que pueda contener un sitio鈥. No obstante, dos a帽os despu茅s de esta cita, el propio Prince tir贸 una web supremacista blanca alegando que 鈥渕e levant茅 esta ma帽ana de mal humor y decid铆 echarles de internet鈥. Su estrategia de implementaci贸n en un mercado que estaba casi copado por Akamai fue ofrecer estos servicios de forma casi gratuita.

Evadir ataques sin pasar por el aro

Tratar de evadir estos ataques f谩ciles y baratos de realizar, utilizando una infraestructura propia, eleva el coste a decenas de miles de euros al a帽o, seg煤n apuntan desde Nodo50. Las tres formas principales de repeler este tipo de ciberataques son tener listas negras de IP se帽aladas como atacantes, limitar el tr谩fico a tus servidores o distribuir la carga entre distintos servidores. Estas dos 煤ltimas, que son las m谩s efectivas, dependen de lo grande y potente que sea tu infraestructura. 鈥淒epender de un servicio de alojamiento o de una empresa de seguridad compromete tu independencia de la misma forma que lo hace tener publicidad del Ibex35鈥, a帽aden desde el proveedor de internet.

A pesar de que CloudFlare goza de muy buena publicidad a nivel general 鈥攐frece hasta un servicio gratuito para ONG鈥攍o cierto es que su modelo de negocio parece compatible con ofrecer su plataforma y servicios a aquellos que lanzan los ataques y su fortaleza reside en tender hacia el monopolio de un mercado orientado hacia un 谩rea muy concreta de la ciberseguridad: este tipo de ataques f谩ciles y baratos de contratar.

Ante la pregunta de si ser铆a posible repeler este tipo de ataques mediante una gran masa de fuerza de trabajo activista, como cuando se da un hackaton, responden que, en su caso, ser铆a dif铆cil, ya que habr铆a que instruir a toda esa base en el funcionamiento de sus servidores. 鈥淪铆 ser铆a interesante que much铆sima gente solicitase en masa informaci贸n sobre las IP que localizamos a los proveedores de servicios como Orange, Movistar o Vodafone, que tienen la informaci贸n que nos podr铆a ayudar a rastrear a los atacantes鈥, a帽aden.

Debido a la propia naturaleza de las botnets, que se basan en infectar nuestros dispositivos en el d铆a a d铆a, una mayor conciencia y educaci贸n sobre la privacidad o la ciberseguridad a nivel usuarias dificultar铆a la ejecuci贸n de este tipo de ataques. Algo tan sencillo como tener instalada una aplicaci贸n de software libre como Blokada en el tel茅fono m贸vil, restringir铆a ese tipo de virus.

Desde Nodo50 reconocen que el coste humano en horas de trabajo, como ya se ha se帽alado en los medios afectados por el ataque, ha sido el mayor da帽o causado. Pero, por otro lado, remarcan que ha sido una oportunidad para aumentar las comunicaciones con las redacciones de El Salto o La Marea 鈥測 que entiendan y comprendan mejor nuestro trabajo鈥.




Fuente: Elsaltodiario.com