En enero del 2016, durante un operativo de las autoridades europeas coordinadas con la Europol y la Interpol, se buscó desmantelar al grupo cibercriminal DD4BC (DDoS for bitcoins, en inglés) y que culminó con el arresto de dos personas líderes de la organización.
El registro de la operación del grupo DD4BC data del 2014, quienes extorsionaban con lanzar ataques distribuidos de denegación de servicio (DDoS, por su sigla en inglés) a empresas y organizaciones a cambio de pagos de Bitcoins. Un ataque DDoS consiste en el envío millones de peticiones a un sitio web hasta el punto del colapso y sacarlo de línea.
“Este tipo de ataque de extorsión se ha convertido en una empresa criminal bien establecida y ha afectado a miles de víctimas a nivel mundial, y con el número de incidentes no declarados que se cree que son mucho más altos”, dijo entonces la Europol.
En un principio, el foco principal de los ciberataques fue la industria de las apuestas y juegos de azar en línea, pero después migró a los servicios financieros y al sector de entretenimiento. A pesar del arresto, este modus operandi sigue activo y ha afectado a clientes del sector financiero. De acuerdo con datos compartidos a El Economista por la firma de seguridad de redes Arbor Networks, entre el 60 y 70% de las instituciones financieras de México han recibido amenazas de extorsión.
Juan Manuel Luna, director para Arbor Networks para México, Centroamérica y el Caribe, aseguró en entrevista que la mitad de estas amenazas se consumaron en ataques reales que pudieron dejar sin servicio los servicios digitales de bancos e instituciones financieras hasta incluso frenar su operación. Por cuestiones de confidencialidad, el directivo no reveló el nombre de las víctimas.
“El atacante o grupo de atacantes DD4BC puede ser un grupo o grupos separados que se colgaron de la misma mecánica: identifican a través de las páginas web quién el director o el dueño, el director de operaciones, el director de finanzas, alguien que esté del lado del negocio más allá del lado técnico, aunque también consiguen información del lado de los técnicos; mandan un correo que dice: ‘somos tal y si no depositas a estas cuentas unos 25 bitcoins, recibirás un ataque de disponibilidad a tus portales tal día’ y lo que hacen es darte un anticipo de lo que pueden hacer”, aseguró.
De los ataques que logran consumarse en México dentro del sector financiero, Arbor Networks calcula que el 15% terminan con el pago de los Bitcoins. Asumen el riesgo de quedarse fuera de línea hasta contener los ataques.
Las pérdidas por quedar fuera de línea o incluso frenar su operación pueden ser millonarias para los bancos; sin embargo, para los atacantes no es costoso realizar este tipo de ataques y menos en las infraestructuras mexicanas donde se requieren menos recursos para “tirar” un sitio o un servicio.
La vulnerabilidad de fondo
Más allá de las medidas de seguridad de las instituciones financieras y en general las empresas de México, existen dos factores que aumentan el impacto de un ataque DDoS, de acuerdo con el directivo.
Primero, la arquitectura de los equipos de seguridad perimetral disponibles en el mercado que soportan 300,000 conexiones por segundo cuando un ataque puede estar compuesto de hasta 1.6 millones de peticiones de acceso por segundo. Esto lleva a que las víctimas del ataque eliminen las restricciones de seguridad para mantener en línea sus servicios, o se desconecten por completo y queden fuera de línea.
El segundo factor es la disponibilidad del ancho de banda. Mientras que en latitudes como Estados Unidos o Brasil, un ataque que genere un tráfico de 10 Gigabits en contra de su víctima (usualmente una prueba de un ataque de DD4BC) no pone en aprietos a las compañías, en México la afectación es crítica.
“Para ellos es nada, pero 10 Gigas en México es monstruoso. Para Brasil, que ellos reciben ataques de más de 100 Gigas, 10 Gigas no tiene nada que ver. En México es la tormenta perfecta. Reflexionemos: ¿Cuántas compañías en México pueden soportar 10 Gigas del enlace que tienen contratado con su proveedor, no importa el carrier? Casi nadie”, cuestionó.
Ataques y motivos más complejos
La coincidencia entre los expertos en ciberseguridad sobre el motivo de los ataques cibernéticos en contra del sector bancario es por motivos financieros. Y Luna coincide, pero observa que para el caso específico de los ataques de disponibilidad causados por DDoS han sido usados como una “cortina de humo” para perpetrar robos de información y otro tipo de vulneraciones.
“En ese escándalo de cortina de humo, del que todo el mundo corre y que es altamente probable que se haya vulnerado el dispositivo, están aprovechando para exfiltrar información. Es un ataque muy estructurado, muy organizado y cuando hablamos de amenazas avanzadas, una de las características es que son dirigidos. No es casualidad”, dijo.
El director de Arbor Networks recuerda el caso de un retailer mexicano que reveló a los inversionistas que había sufrido un ataque cibernético que derivó en el robo de información de sus clientes. Al recibir un ataque de denegación de servicios, esta empresa privilegió la disponibilidad de la red, aunque tengan desactivadas las medidas de seguridad.
“El ataque de disponibilidad fue una cortina de humo y como un medio para acceder a lo que me interesa más que en este caso son las bases de datos. Eso pasó con el retail mexicano, ese fue el primer ejemplo, pero ha habido muchos”, señaló.
Si bien el directivo no confirmó ni mencionó directamente el nombre del retailer, lo cierto es que el caso al que hace referencia es El Puerto de Liverpool, que en la víspera de Navidad del 2014 anunció a la Bolsa Mexicana de Valores (BMV) que fue víctima de un ataque cibernético en el que vulneraron sus bases de datos; sin embargo, no dio notificación a sus clientes ni dio mayores detalles.
“Esto salió a la luz porque lo notificaron (a los inversionistas), pero hay otras tantas compañías que no lo hacen porque es un tema de publicidad negativa, de pérdida de clientes y de dinero”, agregó.
La falta de información es uno de los problemas a los que se enfrentan los investigadores y las autoridades, que no permite dar una dimensión real sobre el crimen cibernético ni generar estrategias para combatirlo.
Y esto fue reconocido por la misma Europol durante su operación contra DD4BC: “La ausencia de información por parte de empresas privadas y particulares plantea dificultades especiales en los esfuerzos de aplicación de la ley para procesar estas amenazas cibernéticas”.
Fuente: http://eleconomista.com.mx/
Fecha de consulta: 17 abril 2017
