Como puede atestiguar cualquiera que juegue en línea con regularidad, los ataques DDoS (denegación de servicio dedicado) son un hecho irritantemente común en Internet. Aprovechando el poder digital combinado de una legión geográficamente dispersa de PC zombificados, los piratas informáticos pueden inundar los servidores de juegos y evitar que los jugadores inicien sesión durante horas o días a la vez. El problema ha hecho metástasis en los últimos años a medida que los piratas informáticos emprendedores han comenzado a empaquetar sus botnets y herramientas de spam en ofertas comerciales, permitiendo que cualquier alquiler de Tom, Dick y Script-kiddie tenga acceso al mismo poder.
Hay un gran Internet por ahí, y los malos actores abundan. Hay cosas peores que los spammers y los estafadores nadando en las profundidades de la Dark Web. En su nuevo libro, Fancy Bear hace phishing: la oscura historia de la era de la información, en cinco trucos extraordinarios, El Dr. Scott J Shapiro, profesor de Derecho y Filosofía de la Facultad de Derecho de Yale, rastrea la historia ilícita de Internet a través de cinco de los mayores ataques a la infraestructura digital jamás registrados.
Farrar Straus Giraux
FANCY BEAR GOES PHISHING: La oscura historia de la era de la información, en Five Extraordinary Hacks de Scott J. Shapiro. Publicado por Farrar, Straus y Giroux. Copyright © 2023 por Scott J. Shapiro. Reservados todos los derechos.
El crimen como servicio
No todos los ataques de denegación de servicio utilizan botnets. En 2013, el Ejército Electrónico Sirio (SEA), el brazo de propaganda en línea del brutal régimen de Bashar al-Assad, pirateó Melbourne IT, el registrador que vendió el nombre de dominio nytimes.com a Los New York Times. SEA modificó los registros DNS para que nytimes.com apuntara al sitio web de SEA. Debido a que Melbourne IT contenía los registros autorizados del sitio web del Times, los cambios no autorizados se propagaron rápidamente por todo el mundo. Cuando los usuarios escribieron el normal New York Times nombre de dominio, terminaron en el sitio web de una organización asesina.
Por el contrario, no todas las redes de bots lanzan ataques de denegación de servicio. Los botnets son, después de todo, una colección de muchos dispositivos pirateados gobernados por el atacante de forma remota, y esos bots se pueden usar para muchos propósitos. Originalmente, las botnets se usaban para el spam. Los correos electrónicos de Viagra y Nigerian Prince que solían abarrotar las bandejas de entrada se enviaron desde miles de computadoras zombies distribuidas geográficamente. En estos casos, el atacante se acerca a su ejército de bots y les ordena que envíen decenas de miles de correos electrónicos al día. En 2012, por ejemplo, la botnet rusa Grum envió más de 18 000 millones de correos electrónicos no deseados al día desde 120 000 computadoras infectadas, lo que le generó a su botmaster $2,7 millones en tres años. Los botnets son una excelente infraestructura de spam porque es difícil defenderse de ellos. Las redes suelen utilizar «listas de bloqueo»: listas de direcciones que no dejarán entrar. Sin embargo, para bloquear una red de bots, habría que añadir a la lista las direcciones de miles de servidores desembolsados geográficamente. Eso requiere tiempo y dinero.
Debido a que el malware que hemos visto hasta ahora (gusanos, virus, vorms y wiruses) no podía funcionar en conjunto, no era útil para los delitos por motivos financieros. El malware de botnet, por otro lado, se debe a que las botnets que crea son controlables. Los botmasters son capaces de dar órdenes a cada bot, lo que les permite colaborar. De hecho, el malware de botnet es la navaja suiza del delito cibernético porque los botmasters pueden decirles a los bots en su esclavitud que implanten malware en máquinas vulnerables, envíen correos electrónicos de phishing o participen en fraudes de clics, lo que permite que los botnets se beneficien al dirigir a los bots para que hagan clic en anuncios de pago por clic. . El fraude de clics es especialmente lucrativo, como descubriría más tarde Paras Jha. En 2018, la botnet ZeroAccess podría ganar $100,000 por día en fraude de clics. Comandó un millón de PC infectadas en 198 países, incluida la nación insular de Kiribati y el Reino Himalaya de Bután.
Los botnets son excelentes armas DDoS porque pueden entrenarse en un objetivo. Un día de febrero de 2000, el hacker MafiaBoy eliminó Fifa.com, Amazon.com, Dell, E*TRADE, eBay, CNN y Yahoo!, entonces el motor de búsqueda más grande de Internet. Dominó estos servidores web al requisar computadoras en cuarenta y ocho universidades diferentes y unirlas en una red de bots primitiva. Cuando cada uno envió solicitudes a la misma dirección IP al mismo tiempo, el peso colectivo de las solicitudes colapsó el sitio web.
Después de desconectar tantos sitios web importantes, MafiaBoy se consideró una amenaza para la seguridad nacional. El presidente Clinton ordenó una cacería humana en todo el país para encontrarlo. En abril de 2000, MafiaBoy fue arrestado y acusado, y en enero de 2001 se declaró culpable de cincuenta y ocho cargos de ataques de denegación de servicio. La policía no reveló el nombre real de MafiaBoy, ya que esta amenaza a la seguridad nacional tenía solo quince años. MafiaBoy más tarde se reveló como Michael Calce. “Sabes que soy una persona bastante tranquila, serena y genial”, informó Calce. “Pero cuando tienes al presidente de los Estados Unidos y al fiscal general básicamente llamándote y diciéndote: ‘Te vamos a encontrar’. . . en ese momento estaba un poco preocupado”. Calce ahora trabaja en la industria de la seguridad cibernética como un sombrero blanco: un buen hacker, a diferencia de un sombrero negro, después de cumplir cinco meses en un centro de detención juvenil.
Tanto MafiaBoy como el equipo de VDoS eran adolescentes que colapsaron servidores. Pero mientras que MafiaBoy lo hizo por lulz, VDoS lo hizo por dinero. De hecho, estos adolescentes israelíes eran emprendedores tecnológicos pioneros. Ayudaron a lanzar una nueva forma de ciberdelincuencia: DDoS como servicio. DDoS como servicio es un modelo basado en suscripción que brinda a los suscriptores acceso a una botnet para lanzar una cuota diaria o ataques ilimitados, según el precio. Los proveedores de DDoS se conocen como servicios de arranque o servicios de estrés. Vienen con sitios web fáciles de usar que permiten a los clientes elegir el tipo de cuenta, pagar suscripciones, verificar el estado del servicio, lanzar ataques y recibir soporte técnico.
VDoS anunciaba su servicio de arranque en Hack Forums, el mismo sitio en el que, según Coelho, Paras Jha pasaba horas. En su sitio web, www.vdos-s.com, VDoS ofrecía los siguientes servicios de suscripción: cuentas Bronce ($19,99/mes), Plata ($29,99/mes), Oro ($39,99/mes) y VIP ($199,99/mes). Cuanto mayor sea el precio, mayor será el tiempo de ataque y el volumen. En su apogeo en 2015, VDoS tenía 1.781 suscriptores. La pandilla tenía un departamento de atención al cliente y, durante un tiempo, aceptó PayPal. De 2014 a 2016, VDoS ganó $ 597,862 y lanzó 915,287 ataques DDoS en un año.
VDoS democratizó DDoS. Incluso el usuario más inexperto podría suscribirse a una de estas cuentas, escribir un nombre de dominio y atacar su sitio web. “El problema es que este tipo de potencia de fuego está disponible literalmente para cualquiera que esté dispuesto a pagar treinta dólares al mes”, explicó Allison Nixon, directora de investigación de seguridad en la firma de inteligencia de riesgos comerciales Flashpoint. “Básicamente, lo que esto significa es que debe tener protección DDoS para participar en Internet. De lo contrario, cualquier joven adolescente enojado podrá desconectarte en un santiamén”. Incluso los servicios de arranque necesitan protección DDoS. VDoS contrató a Cloudflare, una de las empresas de mitigación de DDoS más grandes del mundo.
DDoS como servicio seguía una tendencia en ciberdelincuencia conocida como «malware como servicio». Si antes los usuarios compraban información sobre vulnerabilidades de software y trataban de descubrir cómo explotar esas vulnerabilidades por sí mismos, o compraban software malicioso y trataban de descubrir cómo instalarlo y ejecutarlo, ahora simplemente podían pagar por el uso de malware y piratear. con el clic de un botón, no se requieren conocimientos técnicos.
Debido a que los clientes que usan DDoS como servicio no tienen experiencia, son particularmente vulnerables a las estafas. Los estafadores a menudo anuncian servicios de arranque en foros de discusión públicos y aceptan pedidos y pagos, pero no lanzan los ataques prometidos. Incluso VDoS, que proporcionó el servicio DDoS, lo hizo de manera menos agresiva de lo anunciado. Cuando Flashpoint lo probó, la red de bots VDoS nunca alcanzó el máximo prometido de cincuenta gigabits/segundo, sino que osciló entre seis y catorce gigabits/segundo.
Los tableros que anuncian los servicios de arranque, como lo hizo una vez Hack Forums, son accesibles para cualquier persona con un navegador estándar y conexión a Internet. Existen en Clear Web, no en la llamada Dark Web. Para acceder a sitios en Dark Web, debe usar una red especial, conocida como Tor, que generalmente usa un navegador especial conocido como Tor Browser. Cuando un usuario intenta acceder a un sitio web en la Dark Web, el navegador Tor no solicita páginas web directamente. Elige tres sitios aleatorios, conocidos como nodos, a través de los cuales enrutar la solicitud. El primer nodo conoce el remitente original, pero no el destino final. El segundo nodo no conoce ni la fuente original ni el destino final; solo reconoce el primer nodo y el tercer nodo. El tercer nodo conoce el destino final, pero no el remitente original. De esta forma, el emisor y el receptor pueden comunicarse entre sí sin que ninguno de los dos conozca la identidad del otro.
La Dark Web es doblemente anónima. Nadie más que el propietario del sitio web conoce su dirección IP. Nadie más que el visitante sabe que está accediendo al sitio web. La Dark Web, por lo tanto, tiende a ser utilizada por disidentes políticos y ciberdelincuentes, cualquiera que necesite anonimato total. La Dark Web es legal para navegar, pero muchos de sus sitios web ofrecen servicios cuyo uso es ilegal. (Dato curioso: la Marina de los EE. UU. creó la Dark Web a mediados de la década de 1990 para permitir que sus agentes de inteligencia se comunicaran de manera confidencial).
Puede ser sorprendente que los proveedores de DDoS puedan anunciarse en Clear Web. Después de todo, hacer DDoS en otro sitio web es ilegal en todas partes. En los Estados Unidos, uno viola la Ley de Abuso y Fraude Informático si “a sabiendas causa la transmisión de un programa, información, código o comando, y como resultado de tal conducta, intencionalmente causa daño sin autorización”, donde el daño incluye “ cualquier deterioro del . . . disponibilidad de datos, un programa, un sistema o información”. Para evitar esto, los servicios de arranque han argumentado durante mucho tiempo que realizan una función legítima de «factor de estrés», proporcionando a quienes configuran páginas web un medio para hacer pruebas de estrés en los sitios web. De hecho, los servicios de arranque suelen incluir condiciones de servicio que prohíben los ataques a sitios no autorizados y renuncian a toda responsabilidad por dichos ataques.
En teoría, los sitios estresantes juegan una función importante. Pero solo en teoría. Los chats privados entre VDoS y sus clientes indicaron que no estaban estresando sus propios sitios web. Como admitió un proveedor de servicios de arranque a los investigadores de la Universidad de Cambridge, «intentamos comercializar estos servicios hacia una base de usuarios más legítima, pero sabemos de dónde proviene el dinero».
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.