DDoS y extorsión: la rentabilidad de «tumbar» una web

Aunque hablamos de ataques DDoS de manera habitual, lo cierto es que no se suele profundizar demasiado en las razones por las que se producen. Y como ocurre con casi todo en la vida, siempre hay una razón subyacente. Lo que ha variado, con el paso de los años, es la lista de las posibles razones que se pueden encontrar tras los intentos para lograr una disrupción de un servicio, del mismo modo en que han cambiado sustancialmente los posibles efectos que pueden tener los mismos.

Todavía recuerdo, allá por la ya lejana década de los noventa, algún ataque lanzado por estudiantes desde el campus sur de la Politécnica de Madrid, Biológicas de la Autónoma… obviamente los recuerdo porque no andaba demasiado lejos (si bien nunca perpetre ni participé en ninguno). Eran los primeros tiempos de los ataques DoS, predecesores de los actuales DDoS, y en aquellos tiempos la motivación era comprobar qué se podía llegar a hacer. Tiempos en los que simplemente con un puñado de pings podías demostrar tu «fuerza» frente a unos servidores web que, en la mayoría de los casos, no estaban preparados para repeler un ataque.

A día de hoy, esos grupos de estudiantes curiosos han dejado su sitio a organizaciones altamente profesionalizadas y que son capaces de llevar a cabo ataques con unos volúmenes absolutamente impensables no ya en mis tiempos de estudiante, sino incluso hace tan solo una década. Hace solo unos meses supimos de un ataque, sufrido por AWS, que alcanzó los 2,3 terabits por segundo. Ataques para los que se exploran nuevas técnicas constantemente, y que incluso pueden intentar revertir los efectos de las CDN para convertirlas en un elemento más de los ataques.

Ahora bien, ¿qué objetivo persiguen los responsables de estos ataques, o quienes contratan a ciberdelincuentes para que los lleven a cabo? Normalmente solemos pensar en que la caída del sitio atacado es el fin mismo de la acción, y esto es así en algunas ocasiones, pero no en todas. Este estudio de Akamai, en el que se analiza cómo está siendo este 2020 en lo referido a las técnicas empleadas en ataques DDoS, aborda otro objetivo que pueden perseguir este tipo de acciones: la extorsión.

En el informe la compañía se hace eco de una campaña detectada a principios de este mes, cuando una ola de cartas de rescate y ataques DDoS asociados se dirigieron a empresas de una serie de industrias, afirmando ser de grupos conocidos con nombres como Fancy Bear y Armada Collective. El mayor de estos ataques envió más de 200 Gbps de tráfico a sus objetivos. Una técnica que no es nueva, y que incluso cuenta con una definición, RDoS (Ransom DoS).

Al igual que el ransomware, el RDoS pretende «secuestrar» elementos clave de la infraestructura IT mediante ataques DDoS, forzando a sus responsables a pagar por recuperar el control de la misma. Con el ransomware se secuestran los activos digitales y los sistemas (además de exfiltrar la información en bastantes casos), mientras que con DDoS lo que se hace es limitar e incluso bloquear por completo la conectividad de servicios clave (web, aplicaciones web, servidores, etcétera), algo que puede resultar muy dañino en diversos contextos, desde comercios online hasta empresas que dependen de servicios web para su operativa diaria.

Protegerse frente a DDoS y RDoS ya no es una opción, sino una necesidad, puesto que no son cuatro estudiantes curiosos los que se encuentran tras estas acciones. Los profesionales del cibercrimen saben que las empresas dependen cada día más de la conectividad de sus servidores, e intentan sacar partido de esa necesidad. Y los responsables de seguridad de las empresa de todo tipo y condición deben tener muy clara esta amenaza, para actuar de manera preventiva tan pronto como les resulte posible.