Cientos de miles de dispositivos que forman parte de Internet de las Cosas, tales como cámaras de vigilancia, cámaras web, ruteadores, monitores y pantallas conectadas a la red, fueron utilizados en el ciberataque que colapsó durante horas algunas de las empresas digitales más importantes de Estados Unidos.

Twitter, Netflix, PayPal y Spotify, así como medios de comunicación entre los que están CNN, The New York Times, Wall Street Journal, Financial Times y The Guardian dejaron de funcionar por periodos prolongados desde la mañana de este viernes. Se trata, según el diario El País, del ataque más grave de los últimos 10 años, en el que resultaron afectados más de mil millones de usuarios de Internet de todo el mundo.

Mientras el gobierno de Estados Unidos investiga quién está detrás de la embestida tipo DDoS, una agencia privada de seguridad en Internet detectó que los responsables utilizaron el código malicioso Mirai, puesto a disposición de cualquiera por el hacker “Anna_Senpai,” desde principios de mes.

Esta herramienta aprovecha las vulnerabilidades de los aparatos conectados a Internet para, discretamente, tomar el control de ellos sin que el dueño lo perciba. Actualmente, existen cafeteras, aspiradoras, refrigeradores, televisores, lámparas led, camas y otro tipo de objetos domésticos con WiFi susceptibles de ser secuestrados por los hackers para convertirlos en “máquinas zombies” que atacarán posteriormente de forma distribuida.

El embate de ayer se lanzó directamente a la infraestructura de la firma Dyn, el proveedor de DNS de las empresas afectadas. Este servicio interpreta la dirección que sale del navegador de los usuarios para redirigirlos a la página web solicitada. Al dirigir las “máquinas zombies” hacia un servicio tecnológico en la estructura de Internet, en realidad afectas a la red de clientes de un solo golpe.

¿Qué es un ataque DDoS?

Un ataque DDoS consiste en hacer múltiples peticiones simultáneas a un servidor hasta rebasar su capacidad de respuesta, entonces nadie más pueda acceder a él. Si no funciona el servidor que te guía hasta los sitios, es como si estos simplemente no existieran.

Hay diferentes clases de ataques DDoS: algunos se realizan desde una sola computadora, otros se hacen desde más de un dispositivo –una vez que los hackers toman el control de estos–, y pueden realizarse hacia un sitio en concreto o hacia un servicio del que dependen varias páginas web, como ocurrió en este caso.

Los directivos de Dyn informaron que los tres ataques recibidos por sus servidores localizados en las costas este y oeste de Estados Unidos provenían de varias decenas de millones de aparatos conectados a la red. Una parte de ellos estaba controlada a través de Mirai, de acuerdo con la empresa de seguridad Flashpoint.

Hace apenas cuatro días, la compañía de servicios de Internet y seguridad Level 3 estimaba 493,000 nodos reclutados como “máquinas zombies”, la mayoría de ellos localizados en Estados Unidos, Brasil y Colombia. Ayer, de acuerdo Dale Drew, miembro de Level 3, ya había 550,000 nodos infectados con el código malicioso Mirai.

No es la primera vez que el código malicioso Mirai es utilizado para afectar un sitio web, pero la importancia de los objetivos atacados apenas alcanzaba para que la noticia se quedara en los círculos especializados. A principios de septiembre de este año, el blog del periodista Brian Krebs, quien cubre temas seguridad digital, fue vulnerado con ataques DDos después de publicar un trabajo sobre ciberdelincuencia.

Poco después, la empresa francesa de alojamiento de sitios web, OVH, denunció ataques con el mismo código, ataques “fuera de lo común, tanto por su intensidad (picos de hasta 1.0 Tbps) como por su modus operandi (más de 145 mil dispositivos secuestrados y conectados enviando solicitudes simultáneamente)”. Esa era la mayor ofensiva DDoS lanzada hasta entonces.

“No fue el ataque DDoS de todos los días”

El Departamento de Seguridad Nacional de Estados Unidos (DHS, por sus siglas en inglés) monitoreó los hechos y, junto con el FBI, investigarán el origen del ataque, dijo a diversos medios el secretario de prensa de la Casa Blanca, Josh Earnest.

El demócrata Adam Schiff, miembro del Comité de Inteligencia de la Cámara de Representantes, comentó a la cadena de televisión CNN que para Estados Unidos resulta de vital importancia llegar al fondo del problema y saber quiénes son los responsables.

Aunque no anticiparon respuestas concretas, las autoridades informaron que entre las líneas de investigación está la participación de algún Estado-nación con el poder económico suficiente para ejecutar este tipo de ofensivas a gran escala.

Esto ocurrió en plena tensión diplomática entre el gobierno de Estados Unidos y Vladímir Putin, debido a que Barack Obama acusó a Rusia de orquestar ciberataques a instituciones públicas y organizaciones norteamericanas en medio del proceso electoral para renovar al Presidente.

Bruce Schneier, experto en seguridad digital reconocido a nivel mundial, escribió a mediados de septiembre que es fácil esconder el origen de estos ataques entre los cientos de miles de dispositivos controlados. Pero por la duración y el nivel de sofisticación de las agresiones, resulta difícil pensar que un activista o hacker los haga por sí solo. “No sabemos quién está haciendo esto, pero se percibe como si fuera un Estado-nación grande. China y Rusia serían mis primeras conjeturas”.

Kyle York, jefe de estrategia de Dyn, declaró al New York Times que, por la complejidad y duración, la embestida de este viernes “no fue el ataque DDoS de todos los días”.

El gobierno de Obama advirtió hace un par de semanas sobre la posibilidad de recibir un ataque cibernético masivo, sofisticado y novedoso en Estados Unidos.

“Se siente como un cibercomando militar de una nación tratando de calibrar su armamento en caso de una ciberguerra. Me recuerda al programa de los EE.UU. durante la Guerra Fría, aviones que volaban a gran altura sobre la Unión Soviética para obligarla a encender sus sistemas de defensa aérea, y así medir sus capacidades”, dijo Bruce Schneier, el hombre a quien llaman “Gurú de la seguridad digital” y el primero que advirtió que un ataque así estaba por venir.