• Victor Lagunes

En la pandemia, #Ciberataques muy costosos

Actualizado: jun 2


La situación cambió radicalmente y hoy el trabajar desde casa se volvió la regla, en vez de la excepción. Esto lo saben los #hackers y están también desde casa, modificando su patrón y objetivo de ataque.


El día de ayer un cliente nuestro sufrió un ataque de denegación de servicio, o DDoS por sus siglas en inglés. Muy extraño pues el portal de mi cliente, que en este momento me pide permanecer anónimo, no tiene mas de dos meses en línea. No soy ajeno a preparar líneas de defensa, planes de continuidad de negocio y de recuperación de desastres, pero lo que vivió ayer mi equipo fue algo inédito. Un ataque volumétrico, costoso, que hasta este momento todavía persiste a un portal con unos 4 o 5 mil visitantes únicos diarios.


Para quién no lo sepa, este tipo de ataques tienen como objetivo el abrumar la infraestructura de servicio de un portal o servicio digital.


Como funciona normalmente:


Un usuario normal queriendo leer una noticia en un portal de noticias escribe la url en su navegador, le da click, y el servidor donde el sitio está hospedado recibe esta petición y le manda los contenidos al dispositivo para se presentados. El lector, contento, lee el artículo.


Como funciona un ataque distribuido de denegación de servicio:


Ahora, supongamos que el dispositivo de este lector esta infectado por un virus, el cual esclaviza este aparato a las órdenes de un hacker. El, o la, #hacker le pide a esta computadora, #tablet o #smartphone a visitar el sitio en cuestión, en un día y hora específico. El portal recibe esta petición y cuando se dispone a darle servicio, pierde conexión. El dispositivo comienza de nuevo esta actividad, y repite este ciclo muchas veces por segundo. Ahora multipliquen esto por 100, 1000 o 10,000 computadoras, todas pidiendo servicio a un solo portal, a una dirección IP, en múltiplos de X veces por segundo. No hay infraestructura que aguante.


Lo importante es no crear infraestructura que aguante, sino tener tecnología instalada, y protocolos de reacción para poder "mitigar" estos ataques.


En el que sufrimos ayer, tuvimos que hacer un bloqueo completo por países mismo que sigue vigente después de 25 horas y tendremos todavía activado hasta que el ataque empiece disminuir.


Para documentar un poco mejor, en las últimas 24 horas el portal ha recibido casi 30 millones de peticiones lo cual es un incremento de casi 100 veces del tráfico histórico que estaba manejando este portal.


También, alrededor del 2% del tráfico real del sitio venía de países externos a México. En las últimas 24 horas, por todo el tráfico malicioso, nuestro país ni siquiera aparece en los primeros 5. Aquí vemos en donde están ubicadas las #botnets más activas en el ataque.



En la siguiente gráfica podemos ver un filtrado por visitas reales, así como el ancho de banda utilizado. Para ponerlos en contexto, este portal ofrece alrededor de 1GB de contenidos promedio al día, pero con el ataque subió a casi 50GB.



Y gracias a las medidas de seguridad pudimos no solo continuar ofreciendo el servicio, sino también generarle ahorros al cliente por un 95% del tráfico malicioso que la capa de mitigación pudo filtrar.


Este tráfico no solo hubiera sido imposible servirlo, basado en la infraestructura y el presupuesto actual, sino también hubiera sido dinero tirado a la basura para mi cliente.

En este momento seguimos monitoreando y utilizando herramientas y tecnologías para mantener el portal arriba. Para este portal, utilizamos @Cloudflare para la capa de mitigación. Esta empresa nos ha permitido seguir dando servicio aún bajo ataques volumétricos muy grandes.


Sin embargo, tenemos que realizar un análisis post-evento a detalle para poder entender si fue un ataque enfocado, o si estas #botnets que están barriendo internet, buscando vulnerabilidades, se encontraron nuestro sitio y decidieron atacarlo.


La razón verdadera posiblemente no la sabremos ya que la naturaleza de estos ataques es tal que el perpetrador se esconde detrás de estas redes infectadas de computadoras. Sin embargo, seguiremos trabajando para mantener el sitio arriba y dando servicios a usuarios reales.


Por el momento, iremos compartiendo también por esta vía algunas recomendaciones para cuidarse y cuidar sus dispositivos ahora que estamos trabajando en casa.



Contacto

© 2019 CyberLat, Todos los derechos reservados  v2.0