Gunnar Assmy - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Aún hay preguntas después de que el ataque DDoS a Dyn DNS interrumpiera el acceso a internet

Usuarios y empresas sufren después de los ataques DDoS a Dyn DNS, el cual interrumpió el acceso a los principales sitios web; enlaces a la red de bots Mirai plantean más preguntas, mientras que Dyn trata de limpiar todo.

Quedan muchas preguntas después de una secuencia sin precedentes de ataques distribuidos de denegación de servicio, o ataques DDoS, la semana pasada contra Dyn DNS dejaron a millones sin poder acceder a sitios web de alto perfil. El ataque interrumpió servicios del sistema de nombres de dominio desde el viernes por la mañana y continuó durante todo el día. Al principio, los ataques DNS DDoS afectaron en su mayoría operaciones en la costa este de EE.UU., con reportes de afectación de muchos sitios web populares reportados, incluyendo Twitter, Reddit, Spotify, GitHub y The New York Times.

"Este fue un ataque sofisticado y altamente distribuido de decenas de millones de direcciones IP", escribió Kyle York, director de estrategia en Dyn, sobre el ataque que comenzó en la mañana del 21 de octubre. El proveedor de servicios de nombres de dominio (DNS) de Manchester, N.H., detectó la primera ola del ataque a las 7 am, hora del Este, y fue capaz de restablecer el servicio a sus clientes en un par de horas; un segunda ola de ataques se detectó alrededor del mediodía.

"Esta segunda ola fue de naturaleza más global (es decir, no se limitó a nuestros [puntos de presencia] en la Costa Este), pero fue mitigado en poco más de una hora, el servicio fue restablecido aproximadamente a la 1 pm, hora del Este. Una vez más, en ningún momento hubo un corte de toda la red, aunque algunos clientes vieron extensos retardos de latencia durante ese tiempo."

Un tercer ataque se intentó, pero York señaló que Dyn fue "capaz de mitigarlo con éxito y sin impacto para los clientes."

Chester Wisniewski, director científico de investigación en en Sophos Ltd., con sede en el Reino Unido, señaló que si bien Dyn había detectado un gran número de direcciones IP involucradas en el ataque –tantas como "decenas de millones"– que se correlacionan con el número de dispositivos de la internet de las cosas (IoT) incluidos en la red de bots, era más probable que el número fuera inflado a través de la suplantación de direcciones IP. "Técnicamente, el ataque podría haberse originado a partir de un único dispositivo, aunque muchos creen que el número de dispositivos implicados en el ataque oscilaban alrededor de los 50.000", escribió Wisniewski.

Muchas preguntas, pero pocas respuestas

Mientras que el “qué” está claro –un ataque masivo DNS DDoS que afectó a millones de usuarios de internet– las preguntas siguen girando, conforme los expertos exponen piezas del rompecabezas.

Las primeras especulaciones de que el ataque DDoS a Dyn DNS aprovechó la red de bots Mirai fue confirmada tanto por Flashpoint como por Akamai.

"Algunos de los responsables infraestructura de los ataques distribuidos de denegación de servicio (DDoS) contra Dyn DNS fueron botnets comprometidas por el malware Mirai", escribió la empresa de seguridad Flashpoint. Sin embargo, la compañía señaló que si bien "se ha confirmado que se utilizaron botnets Mirai en los ataques contra Dyn del 21 de octubre de 2016, eran botnets separadas y distintas de las utilizadas para ejecutar los ataques DDoS contra 'Krebs on security' y OVH."

Mientras tanto, Mikko Hypponen, jefe de recursos para la finlandesa F-Secure Corp., reportó un anuncio en un sitio web malicioso (dark web) que ofrece DDoS como un servicio.

El seguimiento de ese informe, Forbes descubrió un vendedor en el mercado de Alfa-Bay basado en la red Tor que ofrece 1 Tbps de tráfico DDoS, a partir de una fuerte red de 100.000bots, por $7.500 dólares. Forbes informó que el vendedor afirmó haber creado una red de bots basados ​​en Mirai pocos días después de que el código de botnets Mirai fuera puesto en libertad.

En cuanto a quién estaba detrás del ataque, el experto en seguridad Bruce Schneier escribió el mes pasado acerca de una entidad que aparentemente sondeaba internet para detectar puntos débiles. "Durante el último año o dos, alguien ha estado investigando las defensas de las empresas que ejecutan piezas fundamentales de internet", escribió.

Sin embargo, Schneier no creía que el ataque DNS DDoS a Dyn fuera parte de ese esfuerzo de sondeo, ni podría ser atribuido a China. "Creo que es más probable que se relacionen con los ataques DDoS contra Brian Krebs que con los ataques de sondeo en contra de la infraestructura de internet, a pesar de lo profético que ese ensayo parezca en este momento", escribió. "Y, no, no creo que China vaya a lanzar un ataque preventivo en internet."

Mientras que los hackers chinos pueden –o no– estar detrás del ataque, muchos de los dispositivos de IoT utilizados en las redes de bots basados ​​en Mirai fueron fabricados allí. Una empresa china, Hangzhou Xiongmai Technology Co. Ltd., un fabricante de piezas para cámaras de vigilancia, dijo que recuperaría algunos de sus productos vendidos en los EE.UU., según un informe de Reuters.

Una cuestión clave que todavía tiene que ser contestada gira en torno a las atribuciones. Los ataques se llevaron a cabo, al menos en parte, con dispositivos incluidos en la red de bots Mirai, pero no hay ninguna indicación de quién estaba detrás de los ataques.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close