Por Cristina Ribas, abogada especialista en internet y nuevas tecnologías
Cualquier empresa es vulnerable a los ataques de ciberdelincuentes, pero más lo son aquellas que su operativa y volumen de facturación se producen exclusivamente por vía online; ya sean PYMES, multinacionales u otro tipo de institución. Los atacantes lo saben y se aprovechan. Estas empresas y su estructura se convierten en un blanco fácil y en una forma de conseguir grandes beneficios económicos ilícitamente.
Más aún, no hay que olvidar que muchos ataques de este tipo son obra de competidores que contratan los servicios de ciberlincuentes en el mercado negro (algo habitual, fácil y barato) con el objetivo de conseguir una ventaja desleal para su negocio.
Para ello, los ciberdelincuentes planean y llevan a cabo un ataque de denegación de servicio distribuido (DDoS -Distributed Denial of Service-) que si bien su objetivo principal es el de dejar inaccesible a un determinado recurso (normalmente, un servidor web), lo aprovechan para poder extorsionar a la empresa afectada. Se trata de un método barato, difícil de detectar y extremadamente efectivo.
Funcionamiento del ataque DDoS
Un ataque DDoS se realiza utilizando una enorme cantidad de sistemas para atacar a un objetivo único (los servidores de la empresa víctima) provocando una denegación de servicio a los usuarios que quieren acceder por ejemplo, a su página web. La sobrecarga de peticiones entrantes sobre el sistema afectado es tal, que implica su cierre para los usuarios legítimos.
Más específicamente, los atacantes se abastecen de una red de equipos informáticos que previamente han infectado (botnets o red zombi) los cuales están bajo su control. La red zombi empieza a enviar peticiones de conexión de forma compulsiva a los servidores de su objetivo haciendo que suba exponencialmente el tráfico de red. Llega un momento en el que el servidor no puede soportar tanto tráfico, se sobrecarga y se desbordan sus recursos; hecho que provoca que el servidor quede inoperable. Es lo que comúnmente se conoce por una “caída del servidor”.
A los usuarios y clientes legítimos les es imposible conectarse a dichos servidores por lo que también les es denegado el acceso a la página web donde pretenden realizar sus compras, sus pedidos, sus búsquedas, etc.
Como quiera que esta caída de los servidores puede durar horas, días, incluso semanas; después de intentar varias conexiones –todas ellas fallidas- los usuarios/clientes se desvían y optan por los servicios que ofrecen otros competidores (y si era eso lo que el ataque pretendía, objetivo cumplido!).
Las consecuencias para las empresas afectadas son devastadoras, las principales: pérdidas millonarias en la facturación (que oscilarán en función del tiempo de duración del ataque) y la pérdida de clientes habituales y potenciales.
El ataque DDoS como pretexto de una extorsión
Una vez entendido el funcionamiento del ataque y concluida la magnitud de las consecuencias de la empresa, conviene destacar que estos ataques de denegación de servicio distribuido, salvo que se trate de aficionados o adolescentes (un grupo tan o más peligroso), no se producen sin previo aviso.
En este sentido y una vez que los atacantes han fijado su objetivo, se ponen en contacto con la empresa víctima para exigirle el pago de una cantidad económica so pena de colapsarles los servidores e imposibilitarles prestar sus servicios durante un lapso de tiempo lo suficientemente largo como para generarles importantes perjuicios económicos; o viceversa, les atacan vía DDoS y luego les exigen el pago de una cantidad económica a cambio de devolverles la disponibilidad de su portal web.
Los DDoS desde el punto de vista jurídico
Este modo de proceder, también conocido como “sabotaje informático”, puede tener encaje dentro del tipo previsto por el art. 264.2 del Código Penal.
Este precepto establece una pena de seis meses a tres años de prisión por el hecho de interrumpir el funcionamiento de un sistema informático de modo que se hagan inaccesibles datos informáticos. Si bien es cierto que debe acreditarse el dolo en dicha conducta, los resultados producidos deben ser graves y superiores a cuatrocientos euros; a mi entender, no cabe duda de que mediante un ataque de DDoS en el que se utiliza una red zombie o una botnet con el fin de lograr la caída de un servidor, supone una obstaculización e interrupción del funcionamiento normal de un sistema informático (un servidor). Obstaculización que queda acreditada por cuanto los usuarios legítimos les es imposible acceder a los datos que contiene el portal web afectado.
Y si el ataque de DDoS viene precedido o precede la exigencia del pago de una cantidad económica, estaríamos además, ante un delito de extorsión del art. 243 CP. Dicho tipo penal prevé una pena de de prisión de uno a cinco años al que, con ánimo de lucro, obligue a otro con violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero. En el caso que nos ocupa, entendemos que se da la subsunción al tipo penal por cuanto el ciberdelincuente intimida al empresario con dejarle –o seguir- inoperativo si no le abona una cierta cantidad económica. En consecuencia, éste se ve obligado a realizar un acto en perjuicio de su patrimonio –pagar lo que le piden- con tal de evitar males mayores (especialmente, si se trata de una PYME).
Por todo ello, ante un ataque de este tipo estaremos ante un concurso real de delitos ya que el mismo infractor habrá cometido dos acciones independientes, a saber: el delito de daños del art. 264.2 CP y el delito de extorsión del art. 243 CP. En consecuencia y de conformidad con el art. 73 CP, se procederá a acumular las penas previstas para cada tipo delictivo (junto con la responsabilidad civil derivada de ambos delitos).
Recomendaciones para contrarrestar los efectos de un DDoS
1)Resistirse a la extorsión. Jamás se debe acceder al pago ya que, a la que se acceda una sola vez, la extorsión no tendrá fin. Pues a la próxima, los ciberdelincuentes exigirán una cantidad económica más elevada;
2)Denunciar los hechos ante las fuerzas y cuerpos de seguridad del Estado;
3)Buscar apoyo técnico cuanto antes;
4)Disponer de un ancho de banda adecuado que pueda absorber y distribuir el exceso de tráfico durante el ataque;
5)Monitorizar las conexiones y el tráfico de red para detectar patrones de ataque; y
6)Detectar y bloquear a los usuarios maliciosos y a las solicitudes de acceso sospechosas.
Recomendaciones para evitar y/o responder ante un DDoS
1)Revisar la configuración de los routers y los firewalls con el objetivo de detener IPs inválidas. Respecto de los routers, se aconseja habilitar la opción de logging para poder controlar las conexiones que existen;
2)Disponer de un plan de respuesta para los incidentes de seguridad, así como un responsable de seguridad dentro de la propia de organización;
3)Contar con un adecuado mapa de la red y conocimiento de la infraestructura de la organización;
4)Detectar el ataque y determinar su alcance (de aquí que sea imprescindible disponer de un responsable de seguridad);
5)Lograr que el tráfico de red malicioso no afecte el funcionamiento de servicio o, buscar canales alternativos de comunicación entre la empresa y sus clientes;
6)Conseguir detener el ataque lo antes posible para que el impacto sea menor;
7)Una vez terminado el ataque, volver el servicio al estado original; y
8)Analizar lo ocurrido para poder estar mejor preparados en caso de que se produzca un nuevo ataque.
A pesar de las recomendaciones ofrecidas, el hecho de tener implementadas medidas técnicas de seguridad no significa que nuestra organización esté totalmente protegida y blindada. Pues, lo cierto es que este sector va experimentando nuevos avances y aparecen nuevas formas de ciberdelincuencia si cabe, aún más sofisticada.
Aún así, y con independencia de su tamaño, las empresas y organizaciones debemos estar preparados y actualizar las medidas de seguridad que hayamos implementado favoreciendo siempre la funcionalidad y la comodidad de los usuarios.
