Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

¿Hay una “ciberguerra” contra la Generalitat?

Artur Mas en el momento de votar el 9-N /ENRIC CATALÀ

João França

“Por cierto”, señalaba el presidente de la Generalitat Artur Mas el martes en la valoración de la jornada del 9 de noviembre, “puestos a hablar de dificultades e impedimentos, en estos dos últimos días los sistemas informáticos y de información y comunicación de la Generalitat han sido objeto de ataques durísimos organizados de tipo cibernético”.

Efectivamente, el día antes de la consulta no se podía acceder a las webs de la Generalitat, pero es que el ataque, además, afectó el servicio de la receta electrónica en las farmacias, impidió que el Servicio de Emergencias Médicas (SEM) pudiera acceder al historial clínico o al servicio de gestión de imágenes, y también hizo caer la página del Servicio Meteorológico de Catalunya –una de las más visitades–, entre otras. Desde el Cesicat –la organización encargada de la seguridad informática de la Generalitat– aseguran, sin embargo, que los servicios de comunicaciones policiales, de emergencias y de protección civil no se vieron afectados.

El tono de los mensajes de los organismos públicos al respecto parece querer ser alarmista a la vez que tranquilizador. Mas dijo que señalaba esos ataques para remarcar las adversidades con las que lidió la celebración del 9-N, unos ataques “organizados” de “gran magnitud”. Desde el fin de semana algunos medios catalanes hablan de “ciberguerra”. “Tenemos la sospecha de que no pueden ser unos cuantos hackers amateurs o tuiteros más o menos amateurs que organizan algo así, aquí hay otra cosa, que estamos analizando, aunque de momento no podemos señalar a nadie”, dijo el president. ¿Pero qué tipo y nivel de ataque sufrió la Generalitat?

Ataque de denegación de servicio

La Generalitat sufrió un ataque de denegación de servicio, que es –según un informe de Verisign– la causa de un tercio de los incidentes de caídas de webs. El método pasa por hacer tantas peticiones de información a un servidor que se sobrecargue y se haga inaccesible. El método más habitual para hacerlo es a través de una botnet, una red de ordenadores infectados con un virus que permita al atacante controlarlos sin que lo sepa el usuario. Así un atacante puede tener ordenadores en todo el mundo enviando solicitudes de información a un servidor para sobrecargarlo. El sábado, por ejemplo, la Generalitat contactó con una institución que la estaba atacando sin saberlo para que pusieran respuesta.

Los ataques que sufrió la Generalitat comenzaron el día 8, cuando se multiplicó de golpe por 20.000 el tráfico a los servicios de la Generalitat, provocando su caída. El Cesicat, explican, pudo controlar el ataque y mantener los servicios activos al día siguiente, cuando se incrementó y el tráfico ya era 62.000 veces superior a lo habitual y concentró el 90% de todos los ataques sufridos en el Estado español. El Digital Attack Map (que se puede ver más arriba en este artículo), elaborado por Google y la consultora Arbor, muestra cómo ganan importancia en el panorama global los ataques en territorio español.

Los ataques sufridos por la Generalitat no son los más sofisticados ya que, como muestra el mapa y confirma el Cesicat, iban destinados al DNS, que es el sistema que permite llevar a los usuarios de la dirección de un dominio –como por ejemplo la web gencat.cat– al lugar donde se encuentra el contenido. Otros ataques pueden ir destinados directamente al servidor, pero en este caso lo que hicieron fue colapsar la vía de acceso. El propio presidente del Cesicat, Jordi Puigneró, reconocía ayer en RAC1 que no fue del tipo de ataques más graves, ya que no se accedió al servidor, simplemente se bloqueó el acceso.

¿Una ofensiva fácil?

Actualmente, los ataques de DDoS (denegación de servicio distribuida), que habían sido una forma de extorsionar entidades financieras o empresas haciendo caer sus webs, se pueden contratar a hackers que tienen botnets a su servicio. Un día de ataque DDoS podría costar 40 dólares según Webroot o entre 30 y 70 dólares según TrendMicro. No obstante, desde el Cesicat ponen esta facilidad en cuestión.

“No es tan fácil contratarlo, porque tienes que conocer su lenguaje y moverte en sus foros, y sí que es barato contratar un ataque de denegación de servicio, pero no un ataque del nivel que hemos sufrido nosotros”, asegura un portavoz de la Dirección General de Telecomunicaciones y Sociedad de la Información, de la que depende el Cesicat. “El nivel de tráfico que generaron para atacarnos podría tumbar las webs de muchos bancos importantes”, añade. lo califican como el ataque más importante en la historia de Catalunya y el cuarto más importante en el mundo ese día.

El organismo no detalla, sin embargo, la magnitud del ataque. La única referencia es el Digital Attack Map, que cifra el volumen de ataques al Estado alrededor de los 40 Gbps –magnitud que el Cesicat se abstiene de comentar. Se trata de un ataque muy superior, por ejemplo, al que sufrió un referéndum ciudadano online el pasado junio en Hong Kong, pero en cambio muy inferior a los sufridos a mediados de abril en Polonia, y en todo caso, lejos de los más grandes registrados, que llegarían a los 300 Gbps, según Verisign.

Los datos del Digital Attack Map dan además indicios de cómo se hizo este ataque, una posibilidad que explicaría como la Generalitat pudo frenarlo a partir del primer día. Gran parte de los ataques registrados provienen de servidores NTP, servidores públicos dedicados a la sincronización de la hora entre sistemas informáticos. En enero se identificaba una nueva técnica de ataques DDoS que consistía en, en vez de desbordar el objetivo, hacerse pasar por él y pedir información a los NTPs para que sean éstos los que envíen información masivamente. Sin embargo, estos ataques se pueden parar fácilmente, ya que bloquear el tráfico de los NTPs no tiene consecuencias graves.

Desde el Cesicat lo que cuentan es que tomaron medidas de contención y se bloqueó el tráfico entrante sospechoso, las entradas que no se consideraban lícitas.El mismo día 8 los problemas quedaron resueltos, y también durante los días siguientes cuando se incrementaron los ataques. Esta solución podría ser la respuesta a un ataque por la vía del NTP, pero no necesariamente.

Los responsables del Gobierno aseguran que investigan el caso para buscar responsables, pero sin embargo, el carácter distribuido del ataque hace que el origen primero sea prácticamente imposible de identificar.

Ataque al independentismo

Una web de la Generalitat que no cayó fue la dedicada al proceso participativo del 9-N, participa2014.cat. Desde el Cesicat se limitan a detallar que el proveedor de servicios de esta web no cayó porque el lugar donde apuntaba el ataque no afectó a esta web. Es decir, no dependía de los mismos DNS que gencat.cat. No obstante, remarcan que los ataques sufridos el fin de semana tienen intencionalidad política.

De hecho, la Generalitat no fue la única afectada, sino que la Asamblea Nacional Catalana y la Asociación de Municipios por la Independencia también tuvieron sus webs tumbadas. Voluntarios de la ANC y Òmnium, además, denunciaron un boicot telefónico.

Más allá de esto, la red guifi.net comunica que durante el fin de semana observaron fuertes ataques dirigidos hacia dominios .cat alojados dentro de su red “con la intención evidente de colapsarlos y con ello impedir el acceso a algunas webs relacionadas con el 9-N desde Internet”. No obstante, remarcan que sus sistemas de defensa automáticos funcionaron correctamente.

El Cesicat, un organismo polémico

El Cesicat, encargado de velar por la seguridad de la Generalitat ante este tipo de ataques, es un organismo rodeado por la polémica a raíz de filtraciones de informes sobre activistas elaborados por este órgano en octubre de 2013. Después de negarlo varias veces, el consejero Felip Puig admitió que el Cesicat había estado haciendo seguimiento de activistas, periodistas y políticos en las redes y otras fuentes abiertas por encargo de los Mossos d'Esquadra. Recientemente, la Autoridad Catalana de Protección de Datos (ACPD) comunicó a uno de los periodistas investigados que sancionará el Cesicat.

Por otra parte, un antiguo colaborador del centro denunció ante los juzgados que trabajadores del Cesicat intervenían sus comunicaciones dentro de los sistemas de la Generalitat, en las que comunicaba una serie de vulnerabilidades. El juez, sin embargo, en una primera instancia dio por válidas las explicaciones de Interior y no prosiguió con la investigación, aunque tras un recurso ha llamado a declarar a un trabajador y al expresidente del Cesicat.

En relación a las vulnerabilidades a las que hacía referencia en los correos, este experto en seguridad informática aseguraba que había ordenadores de la Generalitat infectados por una botnet y que más de 2.000 credenciales de empleados públicos estaban en manos de hackers. Para denunciar los hechos aportó a los grupos parlamentarios y al Govern capturas de pantalla de servicios como los expedientes médicos de CatSalut, la gestión de nóminas de funcionarios o el servicio de reservas de alojamientos de los Mossos.

stats