ENGLISH: The vocabulary every journalist should know about cyberattacks
Bien seas periodista, activista o emprendedor, existe una buena posibilidad de que te enfrentes a un hacker o a un ciberataque por lo menos una vez durante tu carrera. A menos que ya seas un “geek”, podrías sentirte perdido cuando la gente empiece a usar palabras y términos como amplificación del DNS o fórmula de letalidad.
No es para asustarse: los siguientes términos de vocabulario pueden ayudarte a entender cómo funcionan los ciberataques y lo que puedes hacer para ayudar a prevenirlos.
Amplificación del DNS: es un tipo de ataque que usa protocolos de internet para aumentar la cantidad de tráfico que se envía a servidores que son el objetivo. Un atacante que envía un paquete de 60 bytes puede usar la amplificación del DNS para hacer rebotar 4,000 bytes hacia la víctima, básicamente amplificándolo 70:1, lo cual permite que un ataque bot-net tenga el impacto de uno mucho más grande.
Bot-net: una red de computadoras que han sido infectadas con varios virus (también conocidos como “troyanos” o “malware”), que permite a los hackers tomar las funciones de las computadoras. Los hackers (también conocidos como bot herders) usan las computadoras para cometer crímenes de manera anónima..
Capas: este es un término muy técnico en el contexto de ataques de DDoS y se refiere a cómo los hackers están atacando un sitio. En el modelo generalmente aceptado, hay siete capas en internet que van desde el alambrado físico que lleva la señal (capa 1) hasta los buscadores que usas en tu dispositivo (capa 7). Los ataques más serios de DDoS ocurren en las capas 3 o 4, que son las que están asociadas con la forma en cómo se comunican los servidores entre sí. Para saber más, lee en inglés: http://www.webopedia.com/quick_ref/OSI_Layers.asp
C2, C&C, o C2: comando y control. Cómo es que los “bot-herders” controlan los ataques de DDoS. Si es vía computadoras en riesgo o por virus, esto ocurre usualmente por medio de un servidor hackeado. Los ataques más nuevos son hechos por activistas que se organizan desde redes sociales, foros y programas de chateo. Normalmente, los activistas identifican un objetivo, sacan mensajes para reclutar seguidores y luego usan sus cuentas en las redes sociales para decirles a todos cuándo empezar o detener el ataque.
CDN: Content Delivery Network o Red de suministro de contenido: un servicio que maneja los requerimientos de ancho de banda alta que requiere suministrar contenido a la audiencia de un sitio web, especialmente importante para sitios que ofrecen audio o video. Las CDN están hechas de muchos servidores ampliamente dispersos, lo que ofrece mejores velocidades de descarga y hace a las CDN más resistentes a ataques de DDoS.
DNS: Domain Name Server o Servidor de nombre de dominio: cuando escribes una dirección en un buscador, como https://www.sembramedia.org, en realidad no estás ingresando la verdadera dirección del sitio. Las computadoras no pueden leer el lenguaje humano porque se manejan por medio de números. Entonces, la dirección de SembraMedia, como la de cualquier otro sitio, es realmente una cadena de números separados por puntos. Una DNS asocia esos números con las palabras humanas o letras que asignamos por medio de una agencia internacional conocida como ICANN (https://www.icann.org/).
IOT: Internet Of Things o Internet de cosas: un término que se refiere a la práctica creciente de crear conexiones de internet en dispositivos inteligentes, como refrigeradores, termostatos, cámaras de seguridad, entre otros, lo que les permite ser controlados remotamente. Desafortunadamente, muchos de estos nuevos dispositivos tienen una seguridad débil, haciendo relativamente fácil que sean hackeados y ser parte de una bot-net. Muchos de los ataques de DDoS más recientes se apoyan con dispositivos IOT.
Letalidad: los expertos calculan cuán malos son los ataques de DDoS con esta fórmula: No x Bw x La x Co = Le, en donde:
Así, un ataque de 4,000 computadoras hackeadas, cada una con conexiones de internet de un ancho de banda de 10 Mb/s, en capa 3 (marcada como 1.0), donde el 75% de las computadoras están actuando perfectamente al unísono, se vería así:
4000 x 10,000,000 x 1 x .75 = un ataque de 30Gb/seg
Load-Balancing obalance de cargas: una respuesta para mitigar ataques de DDoS que usa redes de servidores de “tipos buenos” para que se ayuden entre sí, cuando uno de ellos es atacado. Los administradores de sistema usan estas cargas de balance para dirigir el tráfico de los servidores sobrecargados hacia otros que tengan capacidad de sobra. Por ejemplo, “Elastic Beanstalk” de Amazon usa esto para mantener un sitio en línea cuando hay pico de tráfico gracias a una parte del contenido que se hizo viral.El problema: en servicios premium, los sitios web son cargados por ancho de banda y mientras más los uses, más pagas. Advertencia: las facturas pueden elevarse rápidamente hasta los 10 mil dólares por MINUTO si un sitio está bajo un gran ataque.
LOIC: Low Orbit Ion Cannono cañon de ion de órbita baja: bautizado como el arma mortal de un popular juego de video, el LOIC es un código de ataque que puede ser controlado por una persona o un pequeño grupo de personas en sus propias computadoras. El programa causa que la computadora del hacker abra hasta 256 conexiones al mismo tiempo hacia el sitio atacado y que comience a inundarlo con tráfico sin sentido. Por sí solo, esto puede no ser un gran problema, pero grupos de activistas como Anonymous, con miles de miembros, han usado esta técnica para derribar objetivos muy grandes como los sitios de Visa, PayPal y Sony.
Origin Server o Servidor original: es el servidor primario en una cadena de servidores que son el hosting de un sitio. Por ejemplo, un periódico en línea puede tener un servidor original primario que contiene todas las historias, fotos, videos, etc. que quiere publicar.. Ese servidor de origen distribuye entonces el contenido a una red de otros servidores, configurados de manera que si una gran cantidad de tráfico se dirige a uno, los otros pueden juntarse y asumir la carga. Ataques sofisticados de DDoS apuntan al servidor original para derribar sitios grandes y resistentes.
Packeto paquete: un pequeño archivo de datos. Casi toda la información enviada en internet es partida en pequeños pedazos, o packets, en lugar de enviarse como un archivo grande.
Ping: nombrado y modelado por un procedimiento que se usa en guerra submarina, donde se envían señales muy agudas para escuchar el eco. Los pings no son maliciosos por sí solos, sino una práctica común en comunicaciones por internet, donde una computadora envía una parte corta de datos (un packet) a una dirección IP para ver si de verdad existe una computadora que la recibe. La computadora en esa dirección responde con otra corta cantidad de datos para decir, “sí, aquí estoy”.
POD: Ping of Death o Ping de la muerte: las computadoras se comunican entre sí usando información en packets de 56 u 84 bytes a la vez. Durante un ataque de POD, los Hackers envían packets de hasta 65,535 bytes, causando que las computadoras de un servidor tengan el equivalente electrónico a un colapso nervioso.
Reclutamiento: cuántos y cuán rápido agregan los hackers nodos para los ataques de DDoS (ej. computadoras hackeadas). Dependiendo de cuán bueno es el C2 de los hackers, pueden enviar órdenes a miles de computadoras hackeadas al mismo tiempo, o bien puede tomarles horas para que todos los nodos estén en línea para el pico de tráfico. A menudo, el reclutamiento lento e irregular es usualmente un indicador de que un ataque de DDoS está siendo organizado por activistas usando redes sociales, que les dicen a sus seguidores “hey, inunden este sitio con tráfico para derribarlo”.
RUDY: R-U-Dead-Yet o todavía estás muerto: una variante de un ataque de DDoS, donde los hackers encuentran un formulario de contacto en tu sitio y usan computadoras comprometidas para llenarlo muy lentamente. Tu servidor creerá que los atacantes son usuarios legítimos y mantendrá la conexión de datos para que llenen los formularios. Cuando haya demasiadas conexiones persistentes llenado formularios en tu servidor, éste se sobrecargará y se colapsará.
Slowloris: a diferencia de otros ataques de DDoS, éste puede desempeñarse con una sola computadora corriendo un código.Como en un ataque RUDY, el ataque Slowloris abruma a los servidores abriendo conexiones y luego haciendo sólo lo suficiente para asegurarse que el servidor objetivo no se desconecte.
“Smurf Attack” o “ataque Pitufo”: una ingeniosa variación de ataque de DDoS, donde los atacantes borran la dirección de IP de tu sitio y envían tráfico ping a miles de computadoras. Las otras computadoras responden a este ping enviando un reconocimiento de vuelta a la dirección IP, a tu computadora. Este ataque hace que parezca que tu computadora es “un tipo malo”, golpeando a miles de computadoras con tráfico basura.
Spoofingo simulación: fingir el origen de un ataque para que parezca que la fuente del tráfico que está golpeando tu servidor proviene de todo el mundo, cuando actualmente es proveniente de un grupo de computadoras (a menudo en escuelas o negocios) donde el hackeador comprometió las máquinas.
UDP Flood(User Datagram Protocol) o inundación UDP (protocolo de datagrama de usuario): También conocidos como ataques de “sopa de letras” seutiliza un tipo de conexión a la web que está usualmente reservada para aplicaciones de chats o llamadas telefónicas VOIP, y así engañar a los servidores para que abran una conexión. El atacante usa esa conexión para inundar el servidor con packets basura. Cuando el servidor intenta reconocer el packet, se sobrecarga.
Whitelisting o poner en lista blanca: otra táctica usada para resistir un ataque de DDoS. En lugar de “poner en la lista negra” o eliminar direcciones IP que han probado ser malignas, whitelisting ayuda a tu servidor a identificar el tráfico para direcciones IP confiables. Esto es un poco como esa práctica muy común ahora para poner los emails en lista blanca que provienen de personas o empresas que conoces, para que no terminen en tu carpeta de spam.