Defendiendo internet de ataques DDoS como herramienta de censura

project shield google

Los ataques de denegación de servicio son una de las estrategias más socorridas para causar mal en entornos digitales. Un ataque DDoS efectivo suele dejar inservible un servicio expuesto públicamente, e incluso alterar su funcionamiento hasta volverlo un problema para la organización o empresa que está tras él.

Para colmo, con la proliferación de dispositivos móviles y el internet de las cosas, con la industrialización del cibercrimen, y sobre todo, con la dependencia, todavía hoy en día, de la arquitectura web cliente-servidor (a diferencia de una arquitectura peer-to-peer, prácticamente inmune a DDoS), contratar un ataque de este tipo es asumible económicamente por prácticamente cualquier organización, lo que ayuda a que este tipo de acciones, aún consideradas ilegales, sean utilizadas entre compañías que se hacen competencia.

Hay varias razones para realizar un ataque de denegación de servicio, y muchas de ellas ya las hemos cubierto por estos lares:

  • Como arma de guerra: Ya sea a nivel de compañías y/o a nivel de naciones, los DDoS se han vuelto una de las estrategias más socorridas para causar daño en las infraestructuras “de los enemigos”. Prácticamente a diario se producen ataques masivos entre naciones, amparados por la dificultad de precisar el origen real de los mismos, habida cuenta de que los ataques DDoS aprovechan el ancho de banda del que disponen cientos o miles de dispositivos que NO tienen porqué estar en el mismo país.
  • Como estrategia de despiste para un ataque secundario: Generalmente, cuando una infraestructura conectada a Internet sufre un ataque DDoS, tiende a mostrar sus debilidades y a no operar correctamente. Además, mientras el ataque está presente, es normal que el equipo azul encargado de proteger la infraestructura centre todos sus esfuerzos en ello, obviando otras defensas perimetrales, con el fin de volver a tener operativo el servicio lo antes posible. Esto suele ser aprovechado por cibrecriminales y activistas para atacar sus servidores y/o servicios, quizás para robar información o para acciones más específicas (instalación de troyanos, spear-phishing, generación de botnets,…).
  • Para causar una crisis reputacional: En algunos casos, se utiliza la infraestructura de un DDoS para realizar acciones reputacionales, y no para negar el servicio al resto de posibles clientes. El mejor ejemplo que se me ocurre es la subida masiva de seguidores a una cuenta social, que suele ser utilizado como arma por la competencia para denigrar la reputación de esa compañía, partido político o persona. También podría servir para llenar de spam un servicio de cara al público, para causar costes extra (mayores gastos de infraestructuras) a un servicio e incluso posibles problemas con el proveedor del servicio, sin que en efecto haya una mayor tasa de conversión,…
  • Para censurar un contenido accesible mediante internet: El caso que me gustaría tratar en este artículo. Un ataque DDoS es una estrategia muy acertada para negar el acceso a un contenido que alguien (una nación, una empresa, un famoso,…) quiere que no sea consumido. Que va desde el DDoS más sencillo (bloquear a un cliente específico el acceso a una información, como ocurrió hace tiempo con el WhatsApp), hasta ataques más sofisticados y masivos.

Censura de contenido expuesto digitalmente

Así, vemos como lamentablemente, cada vez más países están tejiendo una red de censura digital. Y ya no hablamos únicamente de países con regímenes dictatoriales, sino incluso países desarrollados considerados históricamente democráticos.

El control de lo que se dice ha sido una estrategia muy fiable en el pasado, y bajo este prisma, internet se había vuelto un páramo complicado de gestionar.

El que en internet cualquiera pueda dar su opinión sobre un tema abre la puerta a que terceros caigan en consideración de hechos que los medios tradicionales, fuertemente acotados en algunos países, no han cubierto, o lo han hecho desde la única postura del Sistema.

Las fronteras y burbujas geopolíticas empiezan a ser una realidad en un escenario que nació con la firme determinación de ser universal y neutral, ofreciendo herramientas para que tanto naciones como corporaciones sean capaces de acallar voces que resulten molestas para sus intereses.

Casos como el del Gran Cortafuegos Chino (y su reciente cañón de DDoS) demuestran cómo un gobierno con suficiente poder es capaz ya no solo de desarrollar técnicamente una maquinaria masiva de control del discurso, sino que además tiene el suficiente control social como para hacer que una maquinaria de este tipo no sea considerada un abuso de poder por parte de sus ciudadanos, acostumbrados a que en sus fronteras digitales solo entran aquellos servicios que han accedido a ser permanentemente monitorizados y censurados por el gobierno, bajo la ya habitual excusa de seguridad nacional.

A principios del año pasado escribía un artículo recopilatorio sobre qué entendíamos por aquel entonces sobre libertad digital, y a la vista de lo mencionado y enlazado, conviene recordar todas las batallas que hemos perdido desde entoncesFin de la neutralidad de la red, fin de la neutralidad del enlace, países democráticos siguiendo los pasos de EEUU y su “fallido” control masivo,…

La respuesta ante un escenario de censura digital hostil

Conocíamos hace unos días que Google abría su Project Shield como beta pública (ES). Este servicio lo que ofrece es de forma gratuita un escudo a medios de información (que no blogs personales, por ahora) de cualquier parte del mundo frente a ataques DDoS, utilizando para ello la infraestructura de Google, que puede que sea la más robusta de todo internet.

El funcionamiento es sencillo:

  • El administrador de una página, después de que Google le habilite el servicio, simplemente tiene que cambiar las DNS de sus dominios a las de Google.
  • A partir de entonces, todo el tráfico pasará primero por la infraestructura del gigante de las búsquedas, con los controles que ellos tienen habilitados, de tal manera que al reconocer un patrón que podríamos considerar como ataque de denegación de servicio, la tecnología de sus servidores redirigirán y eliminarán en tiempo real la mayoría de peticiones fraudulentas, seguramente manteniendo el servicio online y disponible para las peticiones que de verdad vengan de usuarios reales.

Ver en Youtube (EN)

Esta página, aún tratando temas que en algunos casos pueden no ser considerados “adecuados” por alguna que otra organización, como comentaba, no entraría dentro de los sites permitidos por ahora para el servicio de Google.

En cambio, si tengo habilitado desde hace ya algunos años un servicio parecido de CloudFlare, que si bien la versión gratuita no te garantiza nada, sí ha conseguido salvarme de algún que otro susto.

Es, de hecho, curioso, ver la gran cantidad de peticiones automatizadas que una página humilde como esta suele recibir a lo largo del mes. Y buena parte de estas peticiones son directamente negadas por el cortafuegos de CloudFlare, lo cual repercute positivamente en el ancho de banda disponible para los lectores reales.

La compañía, por cierto, tiene un servicio que se parece aún más (ya que está enfocado al periodismo digital) denominado Project Journalist (EN), que por lo que he podido investigar es sejemante en funcionamiento al que tengo yo como usuario “normal”, con el añadido de un mayor control (y responsabilidad) frente a este tipo de ataques.

Y es que en este caso, tenemos que agradecer que compañías como Google o CloudFlare habiliten servicios dirigidos a controlar la censura digital. Claro está, que lo hacen por su propio interés (les sirve para aprender más sobre este tipo de ataques, y adelantarse a ellos en sus propios servicios y en los servicios que ofrecen a sus clientes), pero no deja de ser la democratización de una infraestructura de defensa que generalmente está fuera del alcance de cualquier medio de información, de cualquier periodista o activista digital.

Una infraestructura multimillonaria que minimiza el riesgo a futuros ataques de denegación de servicio a aquellos que nos empeñamos en exponer digitalmente información que no suele estar cubierta por los canales tradicionales.