Un ataque informático de proporciones inéditas colapsó varios servicios web hace unos días, y reabrió el debate sobre la importancia de la seguridad en el ecosistema digital
El 21 de octubre de 2016 será recordado como el día en que internet pendió de un hilo. A las siete de la mañana de ese viernes, un ciberataque de proporciones nunca antes vistas tiró por el suelo a sitios de alta demanda y reabrió el debate sobre lo frágil que hoy resulta la seguridad de la red de redes.
Facebook, Twitter, Netflix, PayPal, Airbnb, Spotify, Kayak, GitHub, eBay… Estos y otros portales fueron «al piso» una vez que comenzó el ataque contra los servidores centrales de Dynamic Network Services Inc., empresa proveedora de servicios ubicada en el estado de Nuevo Hampshire, Estados Unidos.
El ataque a Dyn, como se conoce a esta compañía, consistió en un ejército de equipos que, utilizando sus direcciones IP, comenzaron a realizar peticiones a los servidores para colapsarlos, según informó la propia compañía el día del suceso.
Este tipo de ataque se conoce como DDoS, siglas en inglés de Denegaciones de Servicio Distribuidas, y es muy común que suceda a diario. Lo que tiene a todos sorprendidos es que esta vez se apoyó en millones de dispositivos caseros.
Además, el ataque a Dyn tampoco es casual, pues esta empresa opera servidores de Sistemas de Nombre de Dominio, o DNS, por sus siglas en inglés. Los servidores DNS se encargan de permitir que las máquinas se comuniquen entre sí para mostrar las páginas que queramos ver a través de internet. Así, mientras usted escribe www.juventudrebelde.cu para navegar por nuestra web, una máquina lo interpreta como una serie de números.
Los «nombres» de los sitios son gestionados de forma global por los servidores DNS. Si estos fallan o son controlados por hackers, no habría comunicación entre los ordenadores y, al buscar el sitio de Juventud Rebelde o cualquier otro, podría obtener el usuario un resultado que nada tenga que ver.
El Buró Federal de Investigaciones (FBI), de Estados Unidos, asegura que analizan lo ocurrido para tratar de hallar un culpable.
Como el ataque ocurrió a unos días del final de la campaña electoral, algunos medios especularon incluso que fueron grupos chinos o rusos —las tradicionales ovejas negras para nuestro vecino del norte—, pero lo cierto es que nadie se ha atribuido la autoría de lo sucedido.
Lo que sí se ha podido constatar es un temor creciente entre autoridades y grandes compañías estadounidenses por la demostrada fragilidad de un ecosistema digital sobre el cual reposa, en buena medida, su economía y su seguridad.
Y es que al estar fuera de línea sitios financieros como PayPal, o de ventas como Amazon (este frenó el ataque en cuestión de minutos), se dejaron de mover miles de millones de dólares. Incluso, sin redes sociales las pérdidas por la publicidad no mostrada fueron gigantescas.
Al mismo tiempo, si un ataque masivo como este fuera destinado a transformar el código de los sitios y tuviera éxito, podrían quedar expuestos los datos privados de miles de millones de personas, alertaron varios expertos en seguridad.
En todo caso, lo más preocupante de este ataque, según especialistas citados por el diario español ABC, es «el salto de calidad de los hackers». Y es que, en esta ocasión, todo el mundo fue parte del ataque… sin su consentimiento.
Para ello, los ciberdelincuentes (o el ciberdelincuente, que podría ser uno solo), se apoyaron en millones de aparatos domésticos que hoy están conectados a la web, fenómeno nombrado Internet de las Cosas. Hablamos de bombillos, termostatos, puertas, sistemas de seguridad caseros, refrigeradores, todos con algún tipo de software que permite a sus dueños controlarlos a distancia.
La conectividad de estos equipos se maneja por contraseñas, las que, según detectó el FBI, citado por CNN, no fueron cambiadas por sus dueños y se dejaron de serie.
Por ejemplo, si un sistema de control de temperatura a distancia venía de fábrica con el usuario administrador y la contraseña 1234, y quien lo compró lo dejó tal cual, los jaquers descubrieron esto y lo usaron para atacar a Dyn, explicó Kyle York, jefe de estrategia de la compañía.
En este caso, el ataque se hizo a través de un virus de código abierto llamado Mirai. El malware busca a través de la red equipos con protección de fábrica —cuyo usuario y contraseña es el mismo para todos— y una vez que los detecta se aloja en ellos para permitir que sean controlados por el hackers.
Con este tipo de virus, a juicio de York, el futuro puede ser peor. «El número y los tipos de ataques, su duración y complejidad irán en aumento», alertó a la AFP.
El director de Ingeniería de ventas de la compañía Dynatrace, David Jones, indicó por su parte a CNN: «Habitualmente, estos ataques de denegación de servicio se centran en sitios individuales. A diferencia de eso, ahora hablamos de un ataque a las direcciones DNS, que son como un listado telefónico: cuando quemas una, quemas todas a la vez».
Estimaciones indican que en menos de cinco años estarían conectados a internet 50 000 millones de equipos de toda índole. Usando una fracción de los mismos cualquier hackers podría hacer colapsar servicios vitales en línea. De ahí que se reitere el llamamiento para, en el menor breve tiempo posible, aumentar la seguridad de los equipos y trabajar con la ciudadanía la importancia que tienen las contraseñas.
Los ordenadores que controlan los DNS globales se encuentran en poder de la Corporación de Internet para la Asignación de Nombres y Números (Icann, por sus siglas en inglés), organismo ubicado en Estados Unidos.
Estos servidores son el corazón de la red de redes, y están protegidos por siete llaves físicas que se encuentran en poder de 14 personas.
Desde 2010, estos guardianes de la red se reúnen trimestralmente para actualizar y verificar las claves de acceso al equipo que genera todas las llaves maestras de seguridad de la Icann. Si alguien con malas intenciones accediera a esa base de datos, tendría el control de internet.
Por eso las extremas medidas de seguridad que ha adaptado el organismo. Según se constata en su propia web, los portadores de las llaves son siete personas, con igual número de suplentes. Las mismas dan acceso a cajas fuertes, dentro de las cuales hay unas tarjetas criptográficas que generan códigos especiales de seguridad para los servidores DNS distribuidos globalmente. Estos códigos se conocen como SKR, acrónimo de Signed Key Response.
Para llegar a este ordenador principal los responsables de las llaves superan varias puertas bloqueadas por claves de acceso y escáneres de manos, al estilo de una película de superespías. La sala de actualización de claves, por demás, no permite comunicaciones electrónicas. Este «ritual» se conoce públicamente porque es grabado en su totalidad por unas personas a las que llaman asistentes, encargadas de vigilar que los guardianes de las siete llaves no realicen una acción sospechosa.