Hackers que fueron “atrapados con las manos en la masa” en TU Eindhoven, donde no se pudo impartir educación durante una semana. Ataques DDoS a varias instituciones educativas conectadas a la red SURF, que proporciona la infraestructura digital de la educación holandesa. Y luego también DigiD, el servicio de inicio de sesión del gobierno, que sucumbió a los ataques DDoS el martes. ¿Qué está pasando aquí?
Las partes involucradas actualmente no comunican más de lo necesario a sus usuarios. Para los expertos en ciberseguridad que no están involucrados, esto sigue siendo una especulación, pero no consideran obvia una conexión mutua. “Se trata de ataques que requieren conocimientos diferentes”, afirma Petra Oldengarm, directora de Cyberveilig, el grupo de interés para el sector de la ciberseguridad.
A veces, los ataques triviales, incluso los de un joven de dieciocho años en una habitación del ático, pueden golpear repentinamente un punto vulnerable.
Los motivos de un hackeo (por ejemplo, exigir un rescate por un sistema (el llamado ataque ransomware)) difieren de los del ataque DDoS más contundente, que sólo causa molestias. A Oldengarm le sorprende que ambos tipos de ataques se hayan realizado contra instituciones similares en la misma semana, pero bien podría ser una coincidencia. “Pueden inspirarse mutuamente”.
Según Michel van Eeten, profesor de ciberseguridad en la TU Delft, los ataques DDoS se han convertido “en una especie de ruido de fondo” en Internet. A menudo sucede que un grupo de ordenadores pirateados, lo que se conoce como ‘botnet’, intenta paralizar una institución o una red corporativa. Van Eeten: “Se trata de vandalismo en línea con motivos sin sentido y muy poco interesantes desde el punto de vista de la investigación”.
Lea también
Autoridad holandesa de protección de datos: al menos 178 ataques exitosos con ransomware el año pasado
ideal
El martes se desactivó brevemente DigiD, que permite iniciar sesión, por ejemplo, en el sitio de las autoridades fiscales o en el de la Agencia Ejecutiva de Educación (que, entre otras cosas, regula la financiación de los estudiantes). Normalmente se captura el “tráfico falso”, que ocupa masivamente la capacidad de una red. Como resultado, DigiD sólo tiene que manejar tráfico real.
Así que esta vez se ha encontrado una vulnerabilidad, afirma Van Eeten. Hace diez años, el servicio de pago iDeal también cayó. “Entonces uno pensaría: ¿seguramente debería poder superar eso? Pero mediante un ajuste inteligente en la consulta [het dataverzoek dat capaciteit vergt van een netwerk] Una botnet aún puede causar daños. Cada inicio de sesión sin sentido va acompañado de una búsqueda en la base de datos, con cifrado y descifrado. Eso requiere mucha potencia informática”. Y eso puede sobrecargar un sistema hasta tal punto que quede paralizado.
Según Van Eeten, el hecho de que una función gubernamental esencial como DigiD colapsara el martes no significa automáticamente que haya atacado un grupo avanzado. “Los servicios que ofrecen protección contra esto se lanzaron al mercado con gran fanfarria. Pero en la práctica, los ataques triviales, incluso los de un hábil joven de dieciocho años en una habitación del ático, a veces pueden explotar repentinamente un punto vulnerable”.
Es evidente que detrás del ataque a la Universidad Tecnológica de Eindhoven se esconde un cibercrimen organizado. Pero la consultora en ciberseguridad Inge Bryan, ex directora de la empresa de seguridad informática FoxIT, no cree que la universidad sea un objetivo específico. “Un delincuente así escanea y observa qué vulnerabilidades tienen los sistemas de seguridad. Luego analiza dónde se utiliza dicho sistema. De esta manera entra sin que el ladrón sepa en qué edificio ha entrado”, afirma. “Puedes convertirte en un objetivo por casualidad. A menudo es la naturaleza de la tecnología la que determina si uno se convierte en víctima”.
También es decepcionante, según Bryan, la cantidad de propiedad intelectual o datos confidenciales que pueden robarse de las universidades. Esto se aplica a los sistemas cerrados de las empresas con las que colaboramos. Un ataque de ransomware posterior, en el que las bandas mantienen los sistemas como “rehenes” y sólo los desbloquean después del pago de un rescate, podría causar más daño. TU Eindhoven logró evitarlo sacando la cadena del aire. “Buen trabajo”, dice.
Criminal
Van Eeten también tiene elogios por su actuación en Eindhoven. “Es una elección valiente”. Sin embargo, el precio es alto: no recibir educación durante una semana. Van Eeten: “Espero que haya sido una buena respuesta. Existe una compensación de que el daño de ese ataque habría sido tan grave que cerraría su proceso principal. Pero no querrás que el departamento de TI diga: desconecta cada vez que se intenta un robo”. Al igual que después del ataque de ransomware a la Universidad de Maastricht en 2019, espera que se publique un informe público al respecto. El sector podrá entonces aprender de esto.
El TU informa que ha reorganizado partes de la red. “Esa es la mejor manera de solucionarlo”, afirma Oldengarm. “Si una ventana por la que entraron está cerrada, ellos mismos pueden crear una ventana por la que luego podrán arrastrarse más tarde. Si limpia la red usted solo, es posible que se pierda algo que podría permitir que el delincuente vuelva a activarse con el tiempo. Puedes evitar esto rediseñando la red”.
Si una ventana por la que entraron está cerrada, pueden crear una ventana propia por la que luego podrán arrastrarse más tarde.
Bryan considera notable que las instituciones afiliadas a SURF en el sur del país fueran atacadas específicamente el miércoles y jueves y también experimentaran más inconvenientes. Por lo tanto, le parece firmemente que en los ataques tiene algo que ver una parte extranjera. La del jueves también fue diferente a la del miércoles. El ataque del viernes por la mañana está más extendido geográficamente, dijo SURF. En los últimos días, los usuarios han sufrido conexiones a Internet lentas o ninguna conexión.
El Centro Nacional de Ciberseguridad investiga el origen de los ataques. Además, SURF ha denunciado el incidente a la policía y TU Eindhoven también se ha puesto en contacto con las autoridades. Todos los sistemas para estudiantes y personal deben volver a estar en línea a más tardar el sábado por la mañana. Y se puede utilizar de forma segura.
Lea también
La biblioteca de TU Eindhoven está vacía y la cafetería cerrada
About the Author
