Lo que realmente pasó con los ataques DDoS

Social Network X sufrió un apagón intermitente el lunes, con el propietario Elon Musk atribuido a un «ataque cibernético masivo». Musk dijo en su puesto inicial X que el ataque fue cometido por «un grupo grande y coordinado y/o un país». En un artículo sobre Telegram, un grupo pro-palestino llamado «Equipo de tormenta oscura» fue elogiado por el ataque en cuestión de horas. Sin embargo, en una entrevista con Fox Business Network el lunes por la noche, Musk afirmó que el ataque provino de una dirección IP ucraniana.

Los expertos en análisis de tráfico de red que rastrean el incidente el lunes se enfatizaron rápidamente que el tipo de ataque de X parece estar coordinado por computadoras o «botnets», o «botnets», o basura en un intento de abrumar y eliminar sus sistemas. Las botnets a menudo se dispersan en todo el mundo, generando tráfico con direcciones IP geográficamente diferentes, y también pueden incluir mecanismos que determinan dónde controlar.

«Es importante reconocer que la atribución de IP por sí sola no es concluyente. Los atacantes a menudo usan dispositivos de compensación, VPN o redes proxy para confundir sus verdaderos orígenes», dijo Shawn Edwards, director de seguridad de la firma de conectividad de red Zayo.

X no devolvió una solicitud de comentarios por cable para el ataque.

Varios investigadores dijeron a Wired que observaron cinco ataques muy diferentes a la infraestructura de X, el primer inicio en las primeras horas del lunes y el último brote del lunes por la tarde.

«Los ataques DDoS se caracterizaron por condiciones de red, incluidas las condiciones graves de pérdida de tráfico, que podrían evitar que los usuarios lleguen a la aplicación», dijo el equipo de inteligencia de Internet de Cisco en un comunicado.

Los ataques DDoS son comunes, y casi todos los servicios modernos de Internet los experimentan regularmente y deben defenderse de manera proactiva. Como Musk mismo propuso el lunes, «Somos atacados todos los días». Musk dijo que esto se debe a que «se hace con muchos recursos», pero el investigador de seguridad independiente Kevin Beaumont y otros analistas han visto evidencia de que algunos servidores originales X (en respuesta a las solicitudes web) no están debidamente asegurados detrás de la protección DDoS CloudFlare de la compañía y son visibles públicamente. Como resultado, el atacante puede apuntarlos directamente. Después de eso, X aseguró el servidor.

«La botnet atacó directamente la IP ayer y realizó más ataques a esa subred X, que es una botnet para cámaras y DVR», dijo Beaumont.

«No estamos seguros de lo que sucedió, pero hay un ataque cibernético masivo tratando de llevar el sistema X a la dirección IP en la región ucraniana», dijo Musk al presentador de Fox Business Larry Kudlow en una entrevista.

Musk ha ridiculizado repetidamente a Ucrania y su presidente Volodymyr Zelensky desde que Rusia invadió a sus vecinos en febrero de 2022. Musk es un importante donante de campaña al presidente Donald Trump, quien ahora lidera el departamento de eficiencia o moralidad del gobierno, que ha dejado al gobierno federal de los Estados Unidos y su trabajo de trabajo durante semanas en Trump. Mientras tanto, las recientes relaciones de calentamiento de la administración Trump con Rusia y separaron a los Estados Unidos del apoyo a largo plazo a Ucrania. Musk ya ha estado involucrado en estas geopolíticas en el contexto de SpaceX, otra compañía que posee, que opera el servicio satelital de Internet Starlink, en el que muchos ucranianos confían.

El análisis de tráfico DDOS puede desglosar la lucha contra incendios en el tráfico de basura de diferentes maneras, incluidos los países enumerados que involucran las direcciones IP más atacadas. Pero un investigador de una compañía conocida solicitó el anonimato porque no estaban autorizados a hablar sobre X, señalando que ni siquiera vieron el desglose de Ucrania de las primeras 20 direcciones IP involucradas en el ataque X.

Pero si las direcciones IP ucranianas ayudan con el ataque, muchos investigadores dicen que no vale la pena señalar este hecho por sí solo.

«Las conclusiones que se pueden extraer de los datos de IP son la distribución geográfica de las fuentes de tráfico, lo que puede proporcionar información sobre la composición o infraestructura del Botnet utilizado», dijo Edwards de Zayo.