El daño para las marcas de la ciberdelincuencia

Estas oleadas pueden enmascarar otros tipo de actividad ciberdelictiva. Por ejemplo los 'hackeos' como el que sufrió la semana pasada la aerolínea Air Europa. El 'hackeo' ya no es un bombardeo externo, sino que comporta una intrusión en un sistema ajeno, generalmente con un sistema de protección bajo o nulo, y puede derivar en un secuestro ('ransom attack') seguido de una petición de rescate (más empresas de las que pensamos están pagando rescates) o en un robo de información con el fin de venderla clandestinamente.

En el caso de Air Europa, la base de datos afectada almacenaba medios de pago y contraseñas de clientes que pueden ser explotadas por 'hackers' especializados en fraude con tarjetas o robos online en cuentas bancarias. En el 'hackeo' de la empresa 23andMe, dedicada a realizar análisis de ADN, la base de datos afectada han sido los perfiles de siete millones de cuentas, información que comenzó a ponerse a la venta en la llamada Dark Web. La compañía precisó que los 'hackers' no robaron los datos genéticos directos, aunque en los perfiles sí había datos genéticos.

El coste reputacional de verse implicado en estos ciberataques empieza a aumentar con la creciente complejidad de internet. Basta con imaginar la carga extra de trabajo que supuso para los bancos y las empresas de tarjetas de crédito la alerta que Air Europa lanzó y que se tradujo en un número no revelado de nuevas solicitudes en una sola mañana.

A estas noticias que hablan de un incremento de la actividad criminal en internet, se ha sumado el anuncio de Google, Amazon y Cloudflare de que han resistido el mayor ataque de denegación de servicio conocido en internet y están alertando sobre una nueva técnica que, según avisan, podría causar fácilmente una interrupción generalizada de la Red. Google, por ejemplo, afirmó en uno de sus blogs que sus servicios en la nube habían detenido una avalancha de tráfico no autorizado de más de siete veces el tamaño del anterior ataque récord frustrado el año pasado.

La empresa de protección de internet Cloudflare Inc dijo que esta acción fue «tres veces mayor que cualquier ataque anterior que hayamos observado». La división de servicios web de Amazon también reconoció haber sido afectada por «un nuevo tipo de evento de denegación de servicio distribuido».

Evolución de los ciberincidentes en España

Ciudadanos, empresas y red académica

131.965

123.064

118.820

111.519

115.257

109.126

107.397

49.976

17.885

8.925

2013

2014

2015

2016

2017

2018

2019

2020

2021

2022

Con operadores estratégicos y críticos

1.190

885

796

722

680

546

479

130

63

17

2013

2014

2015

2016

2017

2018

2019

2020

2021

2022

Incibe (Instituto Nacional de Ciberseguridad) / ABC

Evolución de los

ciberincidentes en España

Ciudadanos, empresas y red académica

2013

8.925

17.885

2014

49.976

2015

2016

115.257

2017

123.064

2018

111.519

2019

107.397

2020

131.965

2021

109.126

118.820

2022

Con operadores estratégicos y críticos

17

2013

2014

63

2015

130

2016

479

2017

885

2018

722

2019

796

2020

1.190

2021

680

2022

546

Incibe (Instituto Nacional

de Ciberseguridad) / ABC

 

El nuevo tipo de ataque es lo que se denomina una 'vulnerabilidad de día cero o Zero Day' que según el Incibe «es un tipo de vulnerabilidad que acaba de ser descubierta y que aún no tiene un parche que la solucione. La principal amenaza reside en que, hasta que se lanza dicho parche correctivo y los usuarios lo instalan en sus equipos, los atacantes tienen vía libre para explotar la vulnerabilidad y sacar provecho del fallo de seguridad».

El ataque ha sido bautizado como 'HTTP/2 Rapid Reset' y aprovecha una debilidad en el protocolo HTTP/2 para generar ataques hipervolumétricos de denegación de servicio distribuido (DDoS). Cloudflare asegura que ha mitigado una avalancha de estos ataques en los últimos meses, incluido un ataque tres veces mayor que cualquiera anterior que superó los 201 millones de solicitudes por segundo (rps por sus siglas en inglés). «Desde finales de agosto de 2023, Cloudflare ha frenado más de 1.100 ataques con más de 10 millones de rps, y 184 ataques que fueron mayores que nuestro récord DDoS anterior de 71 millones de rps».

Cloudflare detectó a finales de agosto de 2023 esta nueva vulnerabilidad desarrollada por un actor desconocido que aún no ha podido ser identificado y que explota el protocolo estándar de la web. Este novedoso ataque aprovecha la función de cancelación de transmisión de HTTP/2 enviando una solicitud y cancelándola inmediatamente una y otra vez. Al automatizar este patrón de 'solicitar, cancelar, solicitar, cancelar' a gran escala, los atacantes pueden bloquear los servidores y desactivar cualquier aplicación que ejecute estos protocolos estándar. El ataque récord implicó una red de 'bots' que constaba de aproximadamente 20.000 máquinas, lo que se considera una cifra modesta. Cloudflare detecta regularmente redes de 'bots' que son de cientos de miles e incluso millones de máquinas. Que una 'botnet' pequeña genere un volumen tan grande de solicitudes subraya el hecho de que esta herramienta está a disposición de alguien que con muy pocos recursos puede causar un daño enorme a la web.