Entre el 19 y el 23 de noviembre siete medios de comunicación sufrieron un ciberataque conocido como “de denegación del servicio” o DDoS. La consecuencia directa: 116 horas en las que los lectores de La Marea o El Salto no pudieron acceder a los contenidos y sus trabajadores se vieron privados del derecho a informar. Tal y como ha podido averiguar el proveedor de servicios de estos sitios, los ataques llegaron a utilizar más de 27.000 direcciones IP. Este mismo ataque ha hecho caer el pasado 3 de diciembre el sistema informático de la Generalitat de Cataluña. También a finales del pasado mes, jugadores de videojuegos de la plataforma Blattle.net no pudieron acceder por un ataque DDoS contra los servidores de Blizzard.
En el caso del ataque a los medios, de momento se desconoce la autoría, aunque se sospecha que lo haya emprendido una única persona. De hecho, durante los cuatro días que duró el problema, el delincuente se comunicó con los técnicos que trataban de solucionar la complicada situación a través de una cuenta de Twitter que ya no está disponible. Tampoco hay evidencias de cuál fue la motivación.
Según apuntan diferentes informes, este tipo de ataques están rompiendo récords durante los últimos meses, lo que significa que hablamos de una circunstancia que no es puntual, sino una amenaza para la que debemos estar preparados.
Cómo funcionan, quién los promueve, qué persiguen y cuáles son las herramientas que existen para mitigarlos son algunas de las preguntas que el experto en ciberseguridad Pablo San Emeterio ha contestado y desgranamos a continuación.
1. En qué consisten los ataques DDoS
Lo que un ataque DDoS persigue es que un sistema o un servicio en internet deje de funcionar. Según el experto Pablo San Emeterio una de las formas de conseguirlo es “que por un fallo en la programación o configuración de un sistema se produzca un error cuando se interactúa con el mismo que haga que el sistema deje de funcionar. La otra forma, la más común, se produce por un agotamiento en los recursos del sistema (CPU, memoria, ancho de banda de comunicaciones, etc.)”. Para visualizarlo, San Emeterio hace un paralelismo con una situación común de la vida real:
“Imaginemos que una tienda sólo tiene un dependiente (CPU) y un cliente le tiene ocupado con consultas e indecisiones a la hora de comprar. Lo que ocurre es que el dependiente no puede atender al resto de clientes. Como consecuencia se crea una cola de clientes, esperas molestas y muchos desistirán en su compra. Algo similar ocurre en un ataque de denegación de servicio en internet: se inunda al servidor (dependiente) con peticiones inútiles, haciendo que las peticiones legítimas no puedan ser atendidas o tarden mucho en serlo”.
2. ¿Son ciberatacantes expertos?
En algunos casos sí se pueden hacer sin grandes conocimientos. “Han existido convocatorias por parte de grupos en internet que incitaban a generar una afluencia masiva de usuarios a una página para bloquearla. Incluso se han creado herramientas software y se han puesto a disposición de los usuarios para llevar a cabo estos ataques. Pero los grandes ataques y los más dañinos (como el de la botnet Miari) suelen ser llevados a cabo por personas con conocimiento que utilizan técnicas que no están al alcance de usuarios normales de internet”, detalla el especialista.
3. ¿Qué buscan? ¿Hay motivación económica detrás?
En éste, como en la mayoría de los ataques en internet, hay un trasfondo económico. Y si con una amenaza de ransomware el secuestro de datos permanecerá supuestamente hasta que la víctima pague un rescate, en el caso de los ataques de denegación de servicio ocurre algo similar. San Emeterio aclara las dos formas más populares de sacar rédito con esto:
- La extorsión directa. El atacante se pone en contacto con su víctima y le indica que no cesará en su ataque hasta que le pague un dinero.
- El ataque patrocinado. Un tercero que obtenga beneficio por dejar fuera de servicio a la competencia paga por el ataque.
Imagina una venta de un producto muy demandado durante poco tiempo (por ejemplo, entradas a un espectáculo). Si hay dos portales en internet que compiten en esa venta y uno de ellos está fuera de servicio, todas las ventas las hará el que está activo”.
4. ¿Puede llegar un ataque DDoS a alargarse indefinidamente? ¿Cómo solucionarlo?
Según el experto en ciberseguridad al que hemos consultado es complicado, “ya que un ataque DDoS requiere el uso de recursos por parte de un atacante y los defensores pueden identificar qué técnica/técnicas se están utilizando para bloquear el ataque. Pero siempre que le resulte rentable al atacante, se puede seguir sufriendo”.
En cuanto a las soluciones disponibles apunta que existen en el mercado soluciones y fabricantes especializados en la mitigación. Google y CloudFlare son algunas de las empresas que ofrecen este tipo de servicios y en muchas ocasiones sin coste.
5. ¿Qué peligros plantean ataques de este tipo?
Los efectos de estos ataques son realmente variopintos. Depende de cuál sea su objetivo. “En 2016 la botnet Mirai dejó sin servicio a plataformas como WhatsApp, Facebook o Twitter durante varias horas. Los peligros están relacionados con la dependencia que tengamos de ese servicio. Sin redes sociales podemos “vivir” durante unas horas, pero igual servicios más críticos no podemos permitírnoslo”, puntualiza Pablo San Emeterio.
6. ¿Qué papel juegan los poderes públicos en la prevención de ataques DDoS?
Empresas de todos los tamaños e incluso administraciones públicas son blanco de esta problemática. En el caso de los servicios públicos, sus efectos pueden ser tan dañinos que requieren de un enorme esfuerzo de prevención. San Emeterio explica que, por ejemplo, “en procesos electorales es habitual que se activen dispositivos para prevenir éste y otro tipo de ataques en internet. Los cuerpos y fuerzas de seguridad también hacen mucho en la investigación y persecución de los delitos en internet, pero se requiere que el afectado denuncie el ataque”.
Si te ha interesado el tema y quieres profundizar en él te recomendamos este informe elaborado por el Centro Criptológico Nacional sobre buenas prácticas para prevenir los ataques DDoS. En este otro artículo te explicábamos las diferencias entre DDoS, DoS, bot y botnet, esperamos que ambos te sirvan de ayuda.