1999 es un año marcado en los libros de historia por muchos motivos. En febrero de ese curso ascendía al poder de Venezuela Hugo Chávez, en marzo entraba en vigor el tratado internacional por el que se prohibían las minas antipersona y en septiembre se estrenaría en los Países Bajos la primera edición de Gran Hermano, programa con el que se iniciaba la era de los reality shows en televisión. Un año, último de su milenio, que fue muy intenso en todos los terrenos y que también estuvo marcado por dos grandes hitos en el ámbito digital. El primero de ellos, la amenaza del efecto 2000 que luego no fue tal. El segundo, una amenaza que sí se hizo muy real y que, a día de hoy, sigue muy viva: los ataques de denegación por servicio.
Lo cierto es que el primer ataque de esta índole se registró tres años antes, en septiembre de 1996. En ese momento, con una comunidad de internautas todavía en ciernes, un proveedor de servicios de Internet de Nueva York sufrió un desbordamiento de tráfico que tumbó sus sistemas durante varias jornadas. E incluso hay voces que se remontan mucho más atrás, a 1988, para encontrar el primer antecedente de los ataques DDoS. Fue el creador del primer gusano informático, Robert Tappan Morris, quien cometió un error catastrófico al escribir el código de este virus (creado originalmente para medir el tamaño de Arpanet) que provocaba que el gusano se replicara sin control en los mismos equipos, hasta llevar al colapso de los 60.000 nodos de esta red militar, embrión del actual internet.
Sin embargo, el consenso de la industria coincide en señalar el 22 de julio de 1999 como la fecha de la primera campaña denegación por servicio distribuida propiamente dicha en la historia. En esa aciaga jornada, un equipo de la Universidad de Minnesota fue asaltado con muchísimo tráfico procedente de unos 115 ordenadores que habían sido previamente infectados con un virus llamado Trin00. El resultado fue similar al vivido un trienio antes: el sistema colapsó el equipo afectado e impidió su acceso durante varios días.
Y de ahí, la explosión no se hizo esperar. En el año 2000, los ataques DDoS saltaron a la primera plana de los titulares conforme los objetivos se hacían más y más notorios. En ese curso, un ciberdelincuente sin pretenderlo, de apenas 16 años, apodado Mafia Boy logró tumbar las páginas web de Yahoo!, Dell, eBay o la CNN tras infectar 50 redes para instalar su particular malware, Sinkhole.. Y un año más tarde, un gusano llamado Code Red comprometió a numerosos equipos que corrían bajo el servidor web deMicrosoft IIS con el fin de tumbar el portal oficial de la Casa Blanca. Fue uno de los primeros exponentes de que esta amenaza podía usarse no solo con fines criminales, sino también como un mecanismo de protesta ciudadana en la Red, práctica que luego llevarían a su máxima expresión grupos como Anonymous.
En todos los ejemplos anteriores se replica el mismo modus operandi. Los atacantes buscan saturar el servidor objetivo y sus recursos de red con millones de peticiones de acceso simultáneas. El sistema afectado trata de responder a ese aluvión de solicitudes hasta que, finalmente, es incapaz de hacerlo, se satura y se interrumpe el servicio. Hasta ahí la definción clásica de un ataque por denegación por servicio (DoS). La clave que lo diferencia de la tendencia más preocupante es la ‘D’ que falta: distribuido. Así pues, en los ataques DDoS el responsable de ejecutar el ataque no es un servidor en manos del hacker, sino una red de ordenadores (y, conforme avanza el internet de las cosas, cualquier dispositivo conectado a Internet) que están coordinados -normalmente debido a la instalación previa de algún malware- para dirigir su tráfico hacia los servidores deseados por la mente pensante detrás del maquiavélico plan.
20 años bajo la amenaza
Veinte años dan para mucho, más en un espacio tan dinámico y en incesante evolución como es la arena digital. Y, como cabía esperar, la espiral de los ataques DDoS no solo no se ha frenado en estas dos décadas de vida reciente, sino que se ha acelerado y consolidado hasta límites insospechados.
El 21 de octubre de 2002 un ataque DDoS logró comprometer los servidores del sistema de nombres de dominio de internet (DNS), provocando que algunos servidores raíz fueran inaccesibles. Con el tiempo, este tipo de campañas se harían especialmente populares, con relativo éxito en muchas ocasiones como veremos a continuación. Pero antes cabe señalar que los ataques de denegación de servicio han conseguido burlar numerosos obstáculos en estos tiempos, afectando tanto a naciones enteras (Estonia, país bandera de la transformación digital, sufrió su primera gran caída de todos los equipos informáticos, así como de sus servicios financieros y medios de comunicación, en abril de 2007) como a toda clase de gobiernos (entre 2011 y 2012, los partidos opositores rusos y la coalición de Vladimir Putin se enzarzaron en una guerra cruzada de ataques DDoS) o entidades que eran receptoras de críticas sociales (Anonymous protagonizó el Proyecto Chanology para tumbar los sistemas de la Iglesia de la Cienciología y la Operación Payback, dirigida en esta ocasión hacia numerosas organizaciones de defensa de los derechos de autor en protesta por la lucha contra la piratería).
Pero quizás el caso más sonado sea el que se vivió en 2016, cuando un ataque de denegación por servicio distribuido logró su éxito al tumbar los sistemas DNS (completando así la aventura iniciada años atrás por otros delincuentes). Fruto de esta acción, plataformas digitales como Twitter, Paypal, Play Station Network, Pinterest, HBO o Spotify se volvieron inaccesibles al gran público durante un período de tiempo que a muchos se les haría eterno.
El futuro del DDoS
Hasta aquí la visión de la historia reciente y el presente más actual de los ataques de denegación por servicio. Ahora el reto está en tratar de vislumbrar el siguiente paso en esta clase de campañas, inevitables por definición, pero mitigables en gran parte. Una evolución constante que tiene dos pilares característicos. El primero de ellos tiene que ver con el auge del internet de las cosas.
Conforme más y más dispositivos sean suceptibles de ser víctimas de una botnet y, de este modo, atacar mediante DDoS de forma coordinada, estas acciones cobrarán dimensiones nunca vistas hasta la fecha. Un claro exponente de ello lo tenemos en Mirai, una campaña que comprometió en 2016 miles de cámaras de videovigilancia para afectar no solo al sistema DNS que hemos comentado, sino tambén las webs de empresas como HP y General Electric.
El segundo guarda relación con la sofisticación de los ataques. Según un estudio de Kaspersky, el número de ataques DDoS se redujo un 13% en 2018 respecto al curso anterior, pero su complejidad (con preferencia por los ataques mixtos y de tipo HTTP Flood) hace que sus consecuencias sean mucho más perjudiciales... y su pertinente defensa mucho más difícil.