Global Preloader
Noticia Nacional
(13/Dec/2017) Se utilizan ataques DDoS para extorsionar organizaciones en México

Se utilizan ataques DDoS para extorsionar organizaciones en México

Durante octubre pasado se registraron 3,100 ataques de denegación de servicio (DDoS) en México, esto supone un promedio de 100 ataques cada día y 4.1 incidencias por hora. Más de la mitad tiene su origen en territorio nacional y sus objetivos son compañías e instituciones gubernamentales, de acuerdo con un análisis de Arbor Networks.

Los DDoS son ataques bastante sencillos de realizar que hasta hace poco habían sido utilizados principalmente por organizaciones de hacktivistas pero que fueron adoptados por grupos de ciberdelincuentes los cuales ofrecen sus servicios al mejor postor, por lo que su motivación es el lucro.

Estos grupos cobran sus servicios mediante pagos con criptomonedas, específicamente bitcoins, y ésta es también la forma de pago con la que se condiciona a las víctimas la liberación de sus sistemas. El seguimiento de las transacciones y la volatilidad del bitcoin hacen que este tipo de ataques represente un desafío para garantizar la disponibilidad de la infraestructura de las organizaciones y para combatir este tipo de ataques.

“Los ataques de denegación de servicio son muy fáciles de implementar pero muy difíciles de mitigar, porque no se requiere una tecnología específica sino un conjunto de soluciones que muchas veces requieren incluso de la participación del proveedor de internet”, dijo Carlos Ayala, especialista en seguridad de Arbor Networks.

¿Qué son los stressers?

Los stressers son servicios en los que un individuo o grupo de individuos pone a disposición de un usuario un conjunto de dispositivos conectados a Internet, es decir una botnet, capaces de saturar la capacidad de conexión de sitios web, aplicaciones o sistemas internos a la organización. Los dispositivos conectados a esta red pueden ser cámaras web y de vigilancia, servidores abandonados, computadoras y routers domésticos, los equipos que permiten a muchas personas conectarse a internet en casa.

El daño a la disponibilidad de la información puede afectar no sólo a grandes compañías sino que se enfoca en organizaciones de tipo Tier 2 y Tier 3 de sectores como el financiero, gubernamental o de telecomunicaciones, aunque esto no evita que puedan existir ataques que ronden capacidades de 50 GB, lo que puede “tirar la infraestructura de países pequeños que no estén preparados, como sucede en Centroamérica”.                      

“Desde hace años han sucedido múltiples compromisos provenientes de enrutadores caseros que son utilizados  en nuestros hogares  para acceder a Internet, así como varios tipos de infraestructura de diversas verticales que son manejados por los adversarios y atacan internamente y hacia el exterior desde México. Ejemplo de ello son las botnets encontradas en dependencias de gobierno como Dirt Jumper, Pushdo o Necurs, populares para generar múltiples vectores de explotación de DDoS vistas el último año en nuestro país”, comentó Carlos Ayala.

El daño a la disponibilidad de la información, uno de los fundamentos de la ciberseguridad, a condición de una retribución económica, es decir, la extorsión, puede conducir a otro tipo de amenazas que también pueden ser consideradas motivadores para realizar uno de estos ataques, tal es el caso del uso de los stressers para perjudicar la competitividad de un rival comercial dentro del mercado, lo que igualmente supone un daño monetario.

“Las denegaciones de servicio están vinculadas a una extorsión económica o a tirar un servicio en un momento crucial. Ahora que estamos cerca de la Navidad, mucha gente compra y vende productos en línea y un competidor puede contratar uno de estos stressers para que ataque el sitio web de su competencia. Esta es una de las funciones para las cuales se utilizan más las botnets”, dijo Lucas Paul, analista de seguridad del Laboratorio ESET Latinoamérica durante el webinar.

¿Cómo operan los stressers?

DDoS for Bitcoins y Armada Collective son grupos populares que han demostrado su efectividad al realizar ataques de denegación de servicio como forma de extorsión de entidades públicas y privadas. De acuerdo con Carlos Ayala, el uso del correo electrónico como forma de contacto con las víctimas del ciberataque por parte de estos grupos revela una característica que los define: una motivación específica, así como su capacidad de organización y planeación.

“Estos grupos saben perfectamente a quién les están pegando, las vulnerabilidades específicas de los sistemas de sus víctimas, han hecho un reconocimiento previo y saben perfectamente con quién canalizar una petición de este tipo, por lo que la realizan por correo electrónico”.

De igual forma, los atacantes comprometen varios de los elementos de una red para que si una de las vulneraciones es detectada, se mantenga la afectación en la disponibilidad de la información. “Los ciberdelincuentes pueden llegar a conocer los sistemas de una organización de mejor forma que las personas encargadas de la seguridad. Incluso ofrecen pruebas de los alcances de los DDoS que lanzan como amenazas y esto hace que sepan muy bien en qué momento coordinar el ataque a partir de una preparación previa que puede durar meses”.

La adopción de las criptomonedas, en especial del bitcoin, como forma de pago, también funciona como una estrategia de estos actores para mantener el anonimato de las transacciones. En la mayoría de los casos, cuando uno de estos grupos utiliza monederos digitales para recibir los frutos de la extorsión, las criptomonedas no permanecen mucho tiempo en una sola billetera sino que se van dividiendo en cientos o hasta miles de otros contenedores, lo que vuelve prácticamente irrastreable la ubicación de esos activos.