Estados Unidos todavía se está recuperando del ciberataque perpretado este viernes y que dejó a millones de personas sin poder entrar en las webs más populares del mundo. Twitter, Spotify, Amazon, Reddit, Tumblr, PayPal, e incluso, las webs de medios tan importantes como 'The New York Times', 'Financial Times' o CNN, entre otros, sufrieron una serie de ataques informáticos sucesivos que las dejaron K.O. durante horas.
¿Pero cómo es posible que un ciberataque a gran escala pudiera dañar a la vez a páginas tan destacadas? ¿Cuál pudo ser el origen del ataque? ¿Cómo lograron saltarse las grandes medidas de seguridad que se supone deben tener estas webs?
El objetivo del ciberataque fue el proveedor de Internet Dyn, que maneja y redirige tráfico en la Red. Sufrió un ataque de denegación de servicio (DDoS) en su sistema de dominio de Internet (DNS) que afectó "principalmente a la costa este de Estados Unidos", aunque más tarde dañó a otras localizaciones.
El servicio de dominio de Internet es el sistema que permite a los usuarios el escribir los nombres de las páginas, por ejemplo www.elmundo.es, en lugar de identificadores binarios asociados con los equipos conectados a la Red.
¿Cómo fue el ataque?
El servidor DNS utiliza una base de datos asociada a nombres de dominio. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP. Por ejemplo, si la dirección IP de la página de Google es 216.58.210.163, la mayoría de la gente llega a este equipo especificando www.google.es y no la dirección IP.
¿Y que tiene que ver esto con Dyn, la empresa atacada? DynDNS es una compañía de Internet, ubicada en Estados Unidos, dedicada a soluciones de DNS en direcciones IP dinámicas. Es decir, se trata de un proveedor de acceso al sistema DNS. El ataque que sufrió se conoce como denegación del servicio distribuido, o DDoS.
El DDos es cuando un servicio web está apabullado intencionalmente por el tráfico basura de muchas fuentes, de manera que los usuarios 'legales' no pueden acceder a la página. En resumen, son tantas las solicitudes para entrar en esas páginas que al final no queda sitio para los usuarios reales. Es un método muy común en los ciberataques.
Según la compañía, las primeras investigaciones apuntan a que el ataque provino de dispositivos conocidos como 'Internet of Things' (interconexión digital de objetos cotidianos con Internet), tales como DVR, impresoras y otros aparatos conectados a la Red. Según la empresa Gartner, en 2020 habrá en el mundo aproximadamente 26.000 millones de dispositivos conectados.
Los datos de Dyn señalan que el ataque se libró desde dispositivos infectados con un código malicioso (malware) que se publicó en la web en las últimas semanas.
¿Quién o quiénes están detrás del ataque?
La pregunta ahora es quién o quiénes pudieron llevarlo a cabo. En los primeros momentos del ataque las autoridades estadounidenses no descartaron ninguna de las posibilidades incluyendo que éste procediera de algún Gobierno, sobre todo dada la tensión entre EEUU y Rusia después de que Obama acusara a Moscú de robar información para influenciar en las elecciones del próximo 8 de noviembre, o incluso que proviniera de Corea del Norte.
Sin embargo, fuentes del servicio de inteligencia estadounidense informaron tras evaluar la situación que todo apuntaba "a un caso clásico de vandalismo en Internet", aunque por el momento siguen sin saber cuál ha sido su origen ni cuánto tiempo tardarán en averiguarlo.
De momento, grupo New World Hackers, distribuidos en Rusia y China, se han atribuido la responsabilidad del ciberataque. A través de un mensaje en su cuenta de Twitter han explicado cómo supuestamente lo llevaron a cabo.
Según este grupo de hackers estructuraron computadoras 'zombies' -ordenadores personales, que tras haber sido infectados por malware, son usados por terceras personas para ejecutar ataques- para que lanzaran a la vez 1,2 terabits de datos por segundo a los servidores gestionados por Dyn.
También el grupo Anonymous se atribuyó el ataque asegurando que lo realizaron en respuesta a la decisión de Ecuador de quitarle el acceso a Internet al fundador de Wikileaks, Julian Assange. El Gobierno estadounidense no ha confirmado ninguna de las dos 'confesiones' y asegura que sigue investigando lo sucedido.