"Anonymous está detrás de la mayor parte de los ataques DDoS del año pasado", dice el vicepresidente de Arbor Networks, Carlos Morales. Esta compañía estadounidense acaba de publicar un informe sobre la seguridad de las infraestructuras mundiales que muestra cómo durante 2011 las motivaciones políticas estuvieron detrás de los principales ataques a servidores y páginas. En realidad, el estudio abarca desde octubre de 2010 hasta septiembre del pasado año. Recoge por tanto la explosión de Anonymous. Este colectivo ya era popular antes, pero no fue hasta su operación en defensa de Julian Assange y Wikileaks, en diciembre de 2010, que se convirtió en un fenómeno global.
El informe viene avalado por quienes han participado en su elaboración. Se basa en las respuestas de los responsables de seguridad o de redes de 114 organizaciones entre las que hay operadores de red, grandes empresas e instituciones. La muestra, que proviene de los cinco continentes, incluye datos de una decena de los llamados Tier 1, los responsables de las redes troncales sobre las que descansa internet. AT&T, Global Crossing, Deutsche Telekom o Telefónica y unas pocas más forman este exclusivo club.
Según Arbor Networks, el 35% de los ataques DDoS del año pasado fueron desatados por razones políticas. Le siguen los motivados por lo que el informe llama vandalismo/nihilismo. "Incluso en estos hay algo de ideología", sostiene Morales. En tercer lugar aparecen los ciberataques relacionados con los juegos online y los lanzados por mafias como medio para obtener dinero. Un 15% de los entrevistados también mencionan casos de extorsión o motivados por la competencia entre empresas. En el informe de 2010, Arbor Networks ni mencionaba el hacktivismo como origen de los DDoS.
"Lo que hemos visto en 2011 ha sido la democratización de los ataques DDoS", relata Roland Dobbins, arquitecto de soluciones de Arbor Networks para Asia y el Pacífico y coautor del informe de este año. "Cualquier empresa que opere en línea puede convertirse en un objetivo, da igual quienes sean, lo que vendan, con quién se asocian o por cualquier otra afiliación real o percibida", añade. Además, explica, la explosión de las herramientas de ataque de bajo costo y de fácil acceso "está permitiendo a cualquiera llevar a cabo ataques DDoS".
Diferentes herramientas
El programa Low Orbit Ion Cannon (algo así como Cañón de Iones de Órbita Baja, LOIC) es el mejor ejemplo de esta democratización. Diseñado en un principio para someter a pruebas de estrés a redes y conexiones, fue modificado por un activista para lanzar ataques contra servidores de páginas. Simplificando, envía miles de peticiones por segundo al servidor hasta que este, incapaz de atenderlas todas, cae. En el caso de la operación Megaupload llegó a haber más de 5.000 activistas ejecutándolo. Sólo hace falta hacer la multiplicación para explicar por qué hasta la página del FBI se vino abajo.LOIC era hasta finales de 2010 una herramienta sólo para expertos. Como se puede comprobar en SourceForge, la página especializada en programas donde está alojado, hasta esa fecha tenía una media de descargas de unos pocos centenares. En diciembre de 2010 se lo descargaron casi 120.000 personas. Es la fecha en la que Anonymous llamó a filas y lanzó su ataque contra las páginas de PayPal, Visa, Mastercard y otras en defensa de Wikileaks. Desde entonces, la cifra ha rondado las 30.000 descargas al mes. Hoy, cerca de un millón de personas lo tienen instalado esperando un nuevo objetivo.
"LOIC ni siquiera es ya la mejor herramienta que tiene Anonymous. Cuenta ya con otras, como el DDoser, más eficientes, que gestionan mejor las conexiones", explica Leonardo Nve, de la empresa de seguridad S21Sec. LOIC sólo tiraba webs por fuerza bruta, pero hay nuevas armas que atacan a los servidores DNS (los encargados de convertir el nombre de una página en su dirección numérica) o los servidores de correo. De hecho, como contaba un activista español de Anonymous a este periódico, los ataques con el LOIC son una especie de cargas de infantería. Mientras los responsables de sistemas lidian con ella, hacktivistas más avezados técnicamente, "los arqueros", aprovechan el caos para entrar en los sistemas buscando información, como le ha ocurrido recientemente al Gobierno sirio.
El gran problema es que no hay una manera eficaz de parar un ataque distribuido de denegación de servicio. "Si te llegan 100.000 conexiones, tu sistema no lo va a aguantar", dice Nve. "Para los expertos, esto es como un penalti. Que el portero no lo pare es lo normal, pero si lo paras eres un héroe", añade. En diciembre de 2010, en plena vorágine por la aprobación de la ley Sinde, los responsables técnicos del PSOE se mostraron ufanos porque su web había aguantado el ataque de Anonymous. Los técnicos socialistas contrataron más ancho de banda y servidores de respaldo.
"Aguantaron porque lo sabían de antemano", explica Nve. "Lo único que puedes hacer es estar atento", cuenta. En un trabajo de inteligencia, técnicos de empresas como esta se pasean por los foros, están en contacto con la escena underground, para saber cuál será el siguiente objetivo.
Las cosas no parecen que vayan a mejorar. Además de motivados ideológicamente y democratizados, los nuevos ataques son más complejos, masivos y depredadores de recursos. La empresa Prolexic, que vende equipamiento anti-DDoS a negocios online, publicó también esta semana un informe basado en sus propias estadísticas. Aunque el número total de ataques en 2011 sólo ha crecido un 2% respecto a 2010, en el último cuarto del año pasado subieron un 45% y el consumo de ancho de banda, un 700%. Las cifras coinciden con las de Arbor Networks, que estima que las oleadas de peticiones de más de 10 Gigabits por segundo "se han convertido en la norma". Esa cifra equivaldría a 10.000 internautas con una conexión ADSL de un mega intentando entrar en un sitio todos a la vez.
"Las compañías y los Gobiernos están mejorando sus posiciones defensivas, pero la gran mayoría siguen ignorando la amenaza", señala el vicepresidente de operaciones de Prolexic, Neal Quinn, que alerta también de que los ataques DDoS son en muchas ocasiones una cortina de humo. "A menudo se usan para camuflar otras formas de intrusión y robo de datos. Y esta es una amenaza aún más seria", comenta. Quizá uno de los lemas de Prolexic resuma bien esta guerra. En su web se definen como "el líder mundial en mitigación de DDoS". Mitigación, nada de derrota.