"2.04am PST - Criminales están atacando Feedly con un ataque de Denegación Distribuída de Servicio. El atacante intenta extorsionarnos con dinero para que esto pare. Nos hemos negado". El agregador de noticias Feedly publicaba esta nota el pasado miércoles, después de 24 horas sin poder dar servicio a sus usuarios. Estaba sufriendo un bombardeo cibernético y lo seguiría sufriendo los días posteriores. Es el ataque que más temen las empresas de la red porque puede significarles muchas horas fuera de servicio, con la consiguiente pérdida de imagen y dinero. Los criminales informáticos lo saben y por eso lo están usando como forma de chantaje.

Feedly explicaba, en la misma nota: "Estamos trabajando en paralelo con otras víctimas del mismo grupo y con las fuerzas de la ley". Un día antes, Evernote, otro popular servicio 2.0 para almacenar notas y otros contenidos en la nube, avisaba por Twitter a sus usuarios de que estaba bajo un ataque (https://twitter.com/evernote/statuses/476549613629890560). Evernote no mencionaba estar siendo extorsionado. Tampoco el sitio de música en la nube Deezer, que el pasado fin de semana sufría otro importante bombardeo.

Este tipo de extorsiones están cada vez más a la orden del día desde que empezaron a practicarse, aproximadamente en 2004 (http://www.computerworld.com/s/article/101761/Extortion_via_DDoS_on_the_rise). Primero sólo las sufrían las grandes empresas a quienes, según Arbor Networks (http://threatpost.com/high-volume-ddos-attacks-top-operational-threat-to-businesses-service-providers/103933) habrían llegado a pedir hasta 10.000 dólares para cesar un bombardeo. Actualmente se ceban en las que ofrecen servicios para redes sociales, ya que dependen como el aire de estar en línea y, al ser pequeñas, no están tan bien defendidas (http://www.forbes.com/sites/davelewis/2014/06/11/feedly-suffers-extortion-related-ddos-attack).

En marzo de este año, pedían 300 dólares a Basecamp.com a cambio de cesar un ataque (http://www.databreachtoday.asia/basecamp-faces-ddos-extortion-attempt-a-6673). En febrero, Meetup.com sufría un chantaje por la misma cantidad (http://ddos.inforisktoday.com/ddos-extortion-targets-social-network-a-6598). El dinero debía ingresarse en una cuenta Bitcoin, difícil de rastrear por las fuerzas de la ley. Las empresas se negaron a pagar y sufrieron embates de entre 6 y 20 Gigabits por segundo que, aunque no tumbasen sus máquinas, saturaron su tráfico y las dejaron igualmente inaccesibles.

Los primeros ataques de Denegación Distribuida de Servicio (DDoS) contra empresas en Internet se dieron en febrero del 2000 (http://unaaldia.hispasec.com/2000/02/ataques-masivos-es-tan-fiero-el-leon.html). Las víctimas fueron Yahoo!, Amazon, CNN, eBay o ZDNet. Aunque aparatoso, es un ataque relativamente fácil y automatizable, que en estos más de diez años se ha llegado a usar para todo tipo de objetivos, desde la guerra electrónica y la activismo hasta la competencia entre empresas y la extorsión.

Básicamente, un ataque de DDoS consiste en enviar muchos bits a un ordenador, hasta saturarlo o saturar su tráfico, de forma que nadie puede visitar la web o usar los servicios. En los bombardeos más grandes se lanzan miles de ordenadores contra un objetivo. Es un ataque difícil de parar, de difícil defensa y difícil es también dar con su autor. Según el "Verizon Data Breech Investigations Report" (http://www.verizonenterprise.com/DBIR/2014), la potencia media de los bombardeos se ha doblado en sólo dos años, pasando de los 4,7 Gbps a los 10.1.

También según Verizon, hoy son habituales los ataques donde se lanzan 100 Gbps contra un sistema; se han llegado a documentar de 300, como el que sufrió recientemente el sitio de lucha contra el correo basura Spamhaus (http://threatpost.com/spamhaus-ddos-attacks-triple-size-attacks-us-banks-032713/77675), e incluso de 400. Este aumento de potencia se explica porque ya no se lanzan sólo ordenadores contra el objetivo, también servidores, que tienen mucho más ancho de banda y capacidad de proceso. Además, explica la revista "Ars Technica" (http://arstechnica.com/security/2014/06/under-ddos-feedly-buckles-but-defies-attackers-extortion-demands/), en los mercados negros de la red es cada vez más fácil comprar "kits" para realizar estos ataques de forma automatizada.

Ante esta situación han crecido como la espuma las compañías de seguridad informática dedicadas exclusivamente a defender a sus clientes de estos ataques (http://ddos-protection-services-review.toptenreviews.com). "Son los llamados "servicios de mitigación de DDoS" y es como tener un seguro, pagas una cantidad bastante alta cada mes y ellos hacen de empresa intermedia entre tú e Internet. Si tienes un ataque no lo ves", explica el experto en seguridad Jesús Cea.

Otro experto, Antonio Hernández, coincide en que la profusión de estos ataques DDoS debería hacer que "las empresas empiecen a invertir más en seguridad pues la mitigación o prevención es posible". Incluso sin tener que contratar caros servicios, explica: "Simplemente aumentando tu caudal de Internet, o cambiando un par de parámetros en el sistema". Cea discrepa: "Puedes tener todo seguro que si te saturan el "canuto", estás jodido. Por supuesto puedes contratar un canuto inmenso, pagando inmensamente también por usar el 0,1% del mismo casi siempre, "por si acaso"".

De todas formas, Antonio Hernández pone en duda que tras los ataques contra Feedly haya una potente organización criminal: "Sinceramente no me lo creo mucho. Pienso más bien en unos malos administradores y, luego, algún niño usando alguna herramienta automatizada de DDoS". Además, asegura, "una empresa que dice tener 15 millones de usuarios que no tenga planes de contingencia ni ningún método de mitigación pierde toda credibilidad. Los administradores de Feedly deberían estar en la calle ya". Cea discrepa aquí también: "Se trata de un problema de Internet y no de que los administradores no estén haciendo su trabajo. Al menos no necesariamente".

También podría sospecharse de la necesidad de publicidad de Feedly, que ha conseguido fama tras la desaparición de Google Reader y ahora aboga porque los viejos usuarios de aquel servicio usen el suyo (http://thenextweb.com/insider/2013/06/19/feedly-launches-standalone-web-version-for-all-users-offers-a-one-click-migration-path-from-google-reader). Un ataque con extorsión incluída sería una buena excusa para salir en los medios y conseguir publicidad gratuita. Según Hernández, "hoy en día la mayor parte de ataques DDoS o los más graves son debidos a la competencia entre empresas, conflictos entre países o denuncias públicas como las de Anonymous estos días contra el mundial de futbol en Brasil" (http://www.zdnet.com/world-cup-websites-struck-down-by-ddos-attacks-7000030479/)

CÓMO MITIGAR EL RIESGO DE SUFRIR UN ATAQUE DE DDOS

Antonio Hernández nos da unas pautas, dirigidas a responsables de empresas en línea y administradores de sistemas, para estar a salvo de este devastador ataque.

1. Monitorizar servicios y redes. Tienes que ser capaz de detectar patrones y coger a tiempo un ataque.

2. Comprender cómo funcionan los ataques DDoS (http://youtu.be/SbUZpyQk-a0) y realizar pruebas de ataques sobre tu infraestructura te ayuda a conocer los límites de tu red.

3. Los planes correctores y correctivos, planes de contingencia, y las pruebas de ellos son vitales.

4. Una buena configuración de tu Sistema de Prevención de Intrusiones (IPS) y entender como funciona.

5. Perder el tiempo en documentar y tener un buen análisis de riesgos te ayuda a mitigar muchos riesgos. En mi caso, implementar 27001 y PCI-DSS me ha ayudado a prevenir muchos problemas.

6. Implementar hardening (http://blog.smartekh.com/¿que-es-hardening/) de servidores, el modo paranoico no es tan malo. Hay muchísima documentación por la red y el libro sobre hardening en Linux de 0xword también te puede servir de ayuda. (Hay parámetros básicos del kernel que te protegen de un ataque DoS como tcp_syncookies que previene los Syn Flood, ignore_broadcast que te protege de los ataques smurf, rp_filter que te permite detectar el ip_spoofing).

7. No cabrear a nadie :)

Mercè Molist