El pasado viernes, un ataque de denegación de servicio (DDoS) contra uno de los proveedores de DNS más importantes de EEUU, Dyn, causó estragos en internet a nivel mundial. Una semana más tarde, todo ha vuelto a la normalidad, pero para algunos el ataque supuso algo más siniestro: un adelanto de la ciberguerra del futuro.
Los ataques DDoS (Distributed Denial-of-Service Attack, en inglés) son una de las formas de ataque más antiguas y más populares de internet. Explicado en términos simples, implica inundar de peticiones, de “visitas”, un servidor online de modo que este se abruma con el número de las mismas y es incapaz de distinguir la legítima de la maliciosa. Cuando ese número de peticiones llega a un punto crítico, el sistema se satura y comienza a funcionar a ratos, funcionar lento o a colapsar directamente.
La analogía que se usa a menudo es la de la puerta de un edificio de oficinas. Digamos que la de uno convencional puede estar preparada para permitir el tráfico de 4 o 5 personas a la vez, pero si todo el edificio intentar entrar o salir al mismo tiempo, se produce un embotellamiento. Utilizando la misma analogía, puede inferirse que la mecánica misma de un ataque DDoS tiene mucho que ver tanto con el tamaño del ataque como con el tamaño del atacado.
Tan simple que no puede ser evitado
En esa simplicidad se esconde la efectividad y la belleza casi cavernícola de un ataque DDoS: el que la tenga más grande (la porra), gana. “Es curioso como a menudo nos perdemos en entelequias y cavilaciones sobre los ataques DDoS cuando en el fondo es una mecánica muy simple y, a la vez y quizá por eso, difícil de evitar” explica a Gizmodo en Español Yago Jesús, experto en seguridad informática y editor en Security by Default. Como ocurre con una manguera, si el atacante es capaz de bombear más datos de los que la víctima es capaz de manejar, esta colapsa, no hay más.
Resulta sorprendente asumir que, a estas alturas, no exista un modo definitivo para protegerse de algo tan común y tan antiguo en internet como un DDoS. Según algunos expertos, los primeros ataques de este tipo se produjeron en 1999 contra los servidores de chat IRC en la universidad de Minnesota. 272 sistemas fueron afectados, y el servidor quedó inusable durante días. Fuese o no fuese el primero, sí sirvió para poner en el mapa la técnica y pronto comenzó a usarse a una escala mucho mayor. En febrero del año 2000, gigantes de internet como eBay, CNN, Amazon o Yahoo! fueron los primeros en sufrir los efectos de un ataque DDoS, de nuevo con efectos devastadores y caídas del servicio que se prolongaron días. El responsable fue un canadiense de 15 años, nickname Mafiaboy, que simplemente quería “demostrar sus habilidades”.
Poco más tarde, en 2002, España vivía su particular versión de Mafiaboy. Un joven gallego de 22 años, alias Ronnie “Consiguió encontrar una debilidad en miles de sistemas y con ella tirar los servidores de IRC-Hispano todas las navidades de aquel año” explica Yago Jesús “¿Sabes cuales eran sus motivaciones? estaba enfadado porque lo expulsaron [del IRC]”. En abril de 2003, Ronnie repitió la operación a mayor escala y durante 20 días atacó a las principales empresas del país originando pérdidas millonarias. Fue detenido y condenado en 2006 a dos años de cárcel (que evitó al ser su primera condena) y una multa de 1,4 millones de euros.
Más de una década después, la realidad es que si Ronnie volviese a repetir el ataque, los resultados serían muy similares: “Más aún, si las mismas personas que orquestaron el ataque de la pasada semana deciden repetirlo, en términos generales podemos decir que Dyn tiene poco margen de maniobra y probablemente volveríamos a ver colapsos de nuevo, no sé si tan graves” explica Jesús. Varios han catalogado ya dicho ataque DDoS como “el más grande de la historia”.
¿Significa eso que, más de una década tras los ataques de Ronnie y de Mafiaboy, no hemos aprendido nada? ¿Que estamos totalmente indefensos y cualquiera puede repetirlo de nuevo? La respuesta a ambas preguntas es no, aunque con matices.
En el primer caso, significa más bien que la debilidad que explota un ataque DDoS radica en el protocolo mismo que rige internet, es una simple cuestión de ancho de banda. Quien tenga más, gana.
En el segundo, existen soluciones de seguridad como Akamai que descentraliza el tráfico repartiéndolo en varios nodos y dificultando así en gran medida la efectividad de un DDoS. Aun así no es infalible, ni siquiera un gigante de internet como Dyn, acostumbrado a hacer frente a todo tipo de ataques, consiguió defenderse.
La ciberguerra
Que el éxito del ataque dependa en gran parte del ancho de banda implica que un DDoS se rige en gran medida por la ley del más fuerte. Es una ley peligrosa, porque en un medio como internet, implica que la capacidad de éxito está solo al alcance de unos pocos.
“Pongámonos en el escenario de una ciberguerra” dice Yago Jesús “hay pocos países con el ancho de banda suficiente como para tener éxito, probablemente Estados Unidos, Rusia y alguno más”.
Los efectos de un ataque así pueden llegar a ser catastróficos. Lo más normal es que operen siguiendo una serie de patrones muy concretos que no distan mucho de cualquier otra maniobra militar. Primero se realiza un reconocimiento de la infraestructura de la víctima, buscando debilidades y nodos sensibles que puedan ser atacados. Una vez se encuentran, se despliega la “potencia de fuego”. La potencia de fuego suele venir en forma de botnets, ejércitos de dispositivos infectados con un virus que, a la orden del atacante, comienzan a realizar llamadas al servidor de la víctima, con la consiguiente saturación.
En el caso del ataque a Dyn, la potencia de fuego en forma de ancho de banda se consiguió gracias a Mirai, una botnet realizada a partir de miles de dispositivos conectados al Internet de las Cosas. Dispositivos como cámaras de seguridad IP o grabadores de TV que, de repente, comenzaron a intentar acceder a los servidores de la compañía. Todos tenían componentes de un mismo fabricante: XiongMai Technologies, con sede en China.
“En una ciberguerra se utilizaría también una botnet, pero de índole militar y probablemente incluso más sofisticada y atacando en momentos clave” según Jesús “pongamos por ejemplo como objetivo los servidores del estado cuando toca recaudar impuestos, o las webs de los bancos a fin de mes cuando emiten las nóminas con los sueldos. Si atacan los sistemas de los servicios de Salud, por ejemplo, pueden tirar abajo operaciones críticas como trasplantes, operaciones o asistencia a heridos de guerra”.
La cantidad de infraestructuras que un ataque DDoS gubernamental puede originar a gran escala es tan inmensa y tan compleja que cuesta evaluarla. Cuesta encontrar un organismo, empresa o institución que todavía no dependa de internet para su gestión diaria. “En la mayoría de esos casos, además, la seguridad no es buena, está ahí esperando a ser vulnerada”. Es un método de ataque “limpio”, sin un coste desorbitado y, en la mayoría de casos, devastador. Con la suficiente potencia de fuego (ancho de banda) y en el momento adecuado “podría llegar a parar sin problemas a un país entero”. Como se ha mencionado, las posibilidades de defensa existen, pero es imposible que sean 100% eficientes. Nunca lo van a ser, porque quien tenga más ancho de banda siempre va a tener las de ganar. Para un país pequeño eso es inasumible.
Encontrar el origen de un ataque DDoS no es imposible, pero sí muy complejo. Es por ello que también, y a menor escala, se utilizan a diario entre pequeñas y medianas empresas como método de sabotaje. Por unos $100 dólares puede utilizarse para, por ejemplo, tirar abajo la tienda online de una empresa de la competencia durante un momento crítico como el Black Friday. Casos de este tipo “yo los veo todo el rato”, explica Jesús.
¿Estuvo acaso un gobierno detrás del ataque de Dyn? Difícil saberlo. Para Yago Jesús eso es, de momento, “pura especulación” (aunque Wikileaks no dudó en atribuírselo) pero varios son los que elucubran con la posibilidad de que estuviese orquestado por una agencia gubernamental a modo de prueba o como ejercicio militar a gran escala. Una simple prueba, por adelantado, de la ciberguerra del futuro.