Llegamos a ustedes gracias a:



Reportajes y análisis

¿Estamos ante una ciberguerra?

Funcionarios estadounidenses culpan a Irán, pero quienes conocen de estos ataques dicen que parecen provenir de los cibercriminales

[08/11/2012] Octubre fue un mes de atroces ataques de denegación de servicio a sitios web operados por bancos y empresas de servicios financieros. Una organización terrorista llamado Al-Qassam se atribuye los ataques en línea, pero ahora los ataques son atribuidos a Irán.
Así que ¿se trata solo de otro caso de delito informático, o algo completamente diferente? ¿Podría ser esta una ciberguerra?
En el último mes, aplastantes ráfagas de tráfico de 65Gbps, principalmente de miles de servidores web vulnerables, se dirigieron a Bank of America, Wells Fargo, Bank EE.UU., JP Morgan Chase, Sun Trust, PNC Financial Services, Regions Financial y Capital One. Los ataques han bloqueado los servicios en línea de los bancos por períodos prolongados.
Un grupo islámico llamado Izz ad-Din Al-Qassam Cyber Fighters se atribuyó la mayoría de los ataques distribuidos de denegación de servicio (DoS) que se iniciaron el18 de septiembre con el Bank of America. Un grupo hacktivista, que señala estar asociado a Anonymous se ha atribuido la responsabilidad por los ataques DDoS contra HSBC que comenzaron el 18 de octubre. Los bancos han estado muy ocupados pidiéndole disculpas a los clientes por las interrupciones del servicio.
El CEO de PNC Financial Services James Rohr, reconoció la semana pasada en la CNBC que los ataques DDoS "realmente nos golpearon", y señaló que los ciberataques "realmente interrumpen este país".
Eso siguió al discurso del secretario de defensa de EE.UU., Leon Panetta, el 11 de octubre ante un grupo de inversionistas de Nueva York en el que dijo que EE.UU. tiene que estar en guardia contra una "cyber Pearl Harbor". Dijo que si se lanzan ataques destructivos a las redes de infraestructuras críticas de los Estados Unidos, el presidente le pedirá al departamento de defensa que responda tanto con armas cibernéticas como con armas tradicionales.
Pero responder contra quién, qué y dónde
La primera ronda de ataques resultó ser tan grave para los bancos como Wells Fargo y Bank of America que funcionarios del gobierno estadounidense están haciendo acusaciones.
El senador Joe Lieberman (I-Conn.) culpó directamente a Irán, mientras que los funcionarios de seguridad nacional de Estados Unidos lo dijeron tras una cortina secreta a los medios de comunicación. Por su parte, Irán ha negado oficialmente cualquier implicación.
Irán, como la fuente de los ataques cibernéticos a los bancos "es una buena posibilidad", dijo Darren Hayes, profesor de informática forense en la Escuela Seidenberg de Ciencias de la Computación y Sistemas de Información de la Universidad de Pace.
Hayes señala que en mayo pasado, el sistema bancario de Irán fue desconectado de la red global de transacciones financieras SWIFT como sanción respecto a sus aspiraciones. Junto con otras sanciones internacionales, "esto ha paralizado su economía", añade Hayes, quien agregó que duda de que el gobierno hable tan directamente sobre Irán si no tuviera alguna información de inteligencia.
Avivah Litan, analista de Gartner especializada en la seguridad que se utiliza en el comercio electrónico y la industria financiera, comenta que la cadena de ataques parece tener su origen en el Oriente Medio, donde el tumulto del ciberconflicto está en curso.
Litan agrega que sus fuentes han examinado el código de ataque utilizado contra los bancos de Estados Unidos y consideran que es el mismo código utilizado contra objetivos israelíes, como la Bolsa de Tel Aviv y el sitio web de El Al Airline, en enero. Esa ronda de ataques DDoS en enero pasado fue lanzada por el grupo Hamas, que se cree que es financiado por Irán.
Al menos algunos de estos ataques DDoS contra objetivos israelíes surgió de redes en Arabia Saudita, y las represalias de los hackers israelíes que se hacen llamar IDF-TEAM terminaron yendo a objetivos tales como la Bolsa de Valores de Arabia y el Abu Dhabi Securities Exchange, de acuerdo con informes de la organización de noticas israelí Haaretz.com. De repente, este año Arabia Saudita se ha convertido en un centro de atención.
En agosto, la compañía nacional de energía de Arabia Saudita, Saudi Aramco, tuvo que defenderse de un ataque de malware dirigido contra sus sistemas empresariales, reparar más de 30 mil puestos de trabajo que fueron infectados con un virus malicioso conocido como Shamoon por parte de un grupo llamado a sí mismo La espada de la justicia que se atribuyó el ataque. Un ataque malicioso similar golpeó a RasGas de Qatar.
Por si fuera poco, este año, Arabia Saudí de repente salió de la nada para convertirse en el país que envía más spam en lo que va del año, según un informe de Trend Micro del mes pasado. Sin embargo, dado que los ataques DDoS y de distribución de spam a menudo se llevan a cabo mediante la explotación de computadoras comprometidas, no está realmente claro quien puede estar tras un ataque.
"Los iraníes han creado conflictos de Proxy con gran eficacia durante 30 años, por lo que no es sorprendente añadirle los ataques cibernéticos", señala Chris Bronk, profesor de política de tecnologías de la información en la Universidad Rice.
También hay rumores de que porque los EE.UU. e Israel fueron señalados como los organizadores de haber originado el ataque de malware Stuxnet en las instalaciones iraníes sospechosas de ayudar a desarrollar una bomba nuclear iraní -historia que fue desbaratada por el New York Times en el mes de junio-, Irán está ahora preparando su propio programa de armas cibernéticas para arremeter contra los EE.UU.
Una de las partes más inquietantes acerca de los ataques DDoS en los bancos de Estados Unidos es que los bancos aún no han demostrado que pueden defenderse, señala Litan. Los atacantes se detuvieron simplemente por su propia cuenta, agrega, probablemente para tratar de borrar sus huellas y no ser atrapados. "Los bancos conocían los puntos finales y los servidores", indica. "Nunca acusaron a las personas detrás de los ataques".
Radware, la firma con sede en Israel que hace equipo anti-DDoS, ha expresado profundas dudas de que los ataques se hayan originado con el oscuro grupo islámico Al-Qassam, pero se negó a decir mucho más. Mike Smith, evangelista senior de seguridad de Akamai, también duda sobre cualquier papel de Al-Qassam.
"Antes de septiembre, los Al-Qassam eran terroristas suicidas que mataban gente", señala Smith, y estaban alineados con Hamas y los palestinos. Duda de que Al Qassam de repente haya adquirido capacidades de guerra cibernética. Varios de los bancos cuyas páginas estaban siendo atacadas son clientes de Akamai, por lo que Smith tiene un poco de perspectiva sobre cómo procedieron los ataques. Y se quedó pensando en que estos ataques podrían haber sido simplemente un mecanismo de distracción para que los bancos bajen la guardia mientras los ciber atacantes luego iban por lo que realmente querían -tomar las computadoras de los empleados bancarios con malware troyano Zeus a fin de poder robar los fondos del banco.
Los ataques siguen un patrón de rutina semanal, señala Smith. El lunes, una publicación en línea en Pastebin, que decía provenir de Al-Qassam, anunciaba la institución financiera específica, y el martes, miércoles y jueves, venían los ataques DDoS.
El ataque DDoS, que procede metódicamente de sitio en sitio del banco, alcanza un flujo de tráfico de 65Gbps. Esta corriente golpea cada servidor del banco, haciendo que no esté disponible para los clientes, durante hasta aproximadamente 20 horas. Se mueve entre la página web del mismo banco. Entonces, el patrón se repite en otro banco, y otro. Él dice que ningún banco ha encontrado una manera de mitigar totalmente los ataques, aunque señala que hay cosas que se hacen con la ayuda de los ISP y otros.
Pero la extraña coincidencia de todo esto es que un día antes de que comenzaran los ataques, el grupo de servicios financieros llamado Financial Services Information Sharinh and Analysis Center (FS-ISAC), que coordina las cuestiones de seguridad con el Departamento de Seguridad Nacional, emitió una advertencia sobre un aumento en las adquisiciones informáticas de los empleados bancarios basado en software malicioso de robo financiero, como ZeuS.
Es bien conocido en la industria de la seguridad que los ataques DDoS y ataques de ciber crimen a menudo coinciden, ya que los DDoS ayudan a que los estafadores lleven a cabo elaborados ciber crímenes para robar fondos o llevar a cabo otras malas acciones. "Retrasa la respuesta, los forenses", señala Smith.
Smith sospecha que la ronda metódica de ataques DDoS en los sitios web de los bancos puede ser simplemente un elemento de algo más vasto -fraude llevado a cabo por redes criminales, como las de Europa del Este. Los bancos rara vez revelan sus tasas de fraude-, por lo que esto no podría ser conocido por algún tiempo si es que este tipo de delitos informáticos son los que se han estado llevando a cabo el mes pasado. En cualquier caso, Smith añade, hasta que salgan más pruebas, él personalmente tampoco cree que el culpable de todo esto sea Irán.
Smith señala que un ataque DDoS en sí mismo es sobre todo un inconveniente para los clientes de la banca, ya que pueden pasar a través de otros canales, como llamar por teléfono al banco o acceder a él, para llevar a cabo sus negocios.
Algunos miembros de la industria dicen que los ataques DDoS son bastante comunes.
Dan Farrell, el director de operaciones en red de la empresa de alojamiento web, Applied Innovations en Boca Raton, Florida, señala que su empresa ve cada vez más y más ataques DDoS, aproximadamente una vez al mes. La mayoría de las veces, se trata de un cliente que ha sido marcado e incluso algunos reciben amenazas de extorsión. Applied Innovations utiliza el producto anti-DDoS de Corero, lo que mitiga la peor parte al dejar caer los paquetes de ataque, estando el verdadero reto en determinar la diferencia entre DDoS y el tráfico legítimo.
Uno de los incidentes más memorables relacionados con los ataques DDoS se dieron en contra de los sitios de comercio electrónico de dos minoristas, señala Farrell. Resultó que sus competidores en el espacio comercial los estaban atacando mediante DDoS, pero fue posible protegerlos.
Ellen Messmer, Network World (EE.UU.)