Tech

La Bolsa de Nueva Zelanda 'agonizó' con uno de los ciberataques más obsoletos... Esta es la historia

En agosto de 2020, la Bolsa de Valores neozelandesa sufrió un ciberataque conocido como DDoS, el cual es como entrar a robar un banco con fuerza bruta. Sin embargo, fue capaz de hacer 'agonizar' a esta entidad.

El sitio web de la Bolsa de Valores de Nueva Zelanda se volvió muy lento una tarde de martes en agosto de 2020. Estaba tan ralentizado que no pudo publicar anuncios del mercado, como lo exigían los reguladores financieros. Entonces, una hora antes de que acabaran las transacciones, la administración cerró toda la operación.

No tomó mucho tiempo averiguar qué sucedió. El sitio web había sido desbordado por un 'tsunami' de tráfico digital desde el extranjero. Un correo electrónico de los autores dejaba claro que se trataba de un ciberataque.

NZX Ltd., que opera la Bolsa, restableció la conectividad antes del siguiente día de negociación. Pero los ataques se reanudaron una vez abierto el mercado, lo que obligó a suspender más operaciones en los días siguientes.

Cuando la Bolsa finalmente trasladó sus servidores fuera del alcance del bombardeo digital -a servidores basados en la nube-, los atacantes empezaron a dirigirse a las empresas que cotizaban individualmente ahí. Al final, la negociación en el NZX se detuvo durante cuatro días, con "solo periodos intermitentes de disponibilidad", según una revisión del Gobierno.

"No le desearías esto a tu peor enemigo", dijo el director ejecutivo de NZX, Mark Peterson, a un periódico local.

NZX sufrió el equivalente cibernético de un atraco, un estilo de hackeo burdo y obsoleto que John Graham-Cumming, director de tecnología de la empresa de ciberseguridad Cloudflare, describió como "el ataque más simple y tonto que se puede hacer".

Conocidos como ataques de denegación de servicio distribuidos, o DDoS, este tipo de ataques inundan una red informática o un servidor con tanto tráfico que pueden verse abrumados y dejar de funcionar.

Los ataques DDoS existen desde hace décadas, aunque la industria de la ciberseguridad ha descubierto en gran medida cómo combatirlos y resistir ante ellos. Sin embargo, han perdurado y crecido porque son relativamente fáciles de realizar en comparación con los hackeos reales de las redes informáticas; además, el crecimiento explosivo de los dispositivos conectados a internet ha dado a los hackers una ventaja en el lanzamiento de los ataques.

El ataque prosperó aún más ya que muchas empresas y organizaciones, como NZX, no se molestan en tomar las precauciones necesarias.

"La razón por la que persisten es que la gente piensa que nunca será víctima", indicó Graham-Cumming.

Este relato se basa en entrevistas con más de una docena de expertos en ciberseguridad de Nueva Zelanda y otros países, y ofrece nuevos detalles sobre el ataque, como las notas de los atacantes y las evidentes deficiencias de ciberseguridad en NZX. Un informe publicado el 28 de enero por el regulador de los mercados financieros neozelandeses reforzó estas conclusiones, criticando la incapacidad de NZX para prevenir el incidente DDoS y acusando a los funcionarios de "falta de voluntad para aceptar la culpa".

El NZX fue atacado como parte de una campaña de DDoS que comenzó el año pasado y fue sorprendente por su ambición global. Más de 100 empresas y organizaciones de todo el mundo han sentido hasta ahora su fuerza, entre ellas Travelex en el Reino Unido, YesBank en la India y el servicio meteorológico de Nueva Zelanda, según los investigadores de ciberseguridad y las propias empresas. Ninguna sufrió el impacto de NZX.

Travelex no respondió a mensajes en busca de comentarios, como tampoco lo hizo el servicio meteorológico. YesBank dijo que el ataque "no era material", pero no dio más detalles.

Los ataques han seguido un patrón familiar, según los expertos en ciberseguridad. Las víctimas potenciales reciben un correo electrónico, a menudo dirigido personalmente al director de informática. En él aparece una dirección de Bitcoin y una petición de lo que suele ser unos 200 mil dólares. Los atacantes prometen discreción a los que paguen "respetando su privacidad y reputación, para que nadie descubra que ha cumplido", según las copias de los correos electrónicos de extorsión revisados por Bloomberg.

Los atacantes, que se cree que tienen su base en Europa del Este, se identifican en los correos electrónicos como Lazarus, FancyBear y Armada Collective, todos ellos nombres de grupos de hackers infames, según los correos electrónicos y los expertos en ciberseguridad.

"Suponemos que se trata de una sola entidad. Todos los aspectos de la campaña son absolutamente similares", afirma Hardik Modi, director senior de inteligencia de amenazas de la empresa de ciberseguridad NetScout Systems, con sede en Washington. "Dirijo un equipo de investigación y siento que nos enfrentamos a un equipo de investigación en el que el nivel de devoción es poco común. Por eso nos ha llamado la atención".

Desde que NZX fue cerrado temporalmente, los atacantes lo han utilizado para establecer credibilidad con nuevos objetivos. Los correos electrónicos enviados en las semanas y meses posteriores contenían alguna variación de esta advertencia: "Realiza una búsqueda de NZX o New Zealand Stock Exchange en las noticias, no querrás ser como ellos, ¿verdad?".

A lo largo de los años, las bolsas financieras han interrumpido su actividad por diversos motivos, desde ardillas que mastican los cables de electricidad hasta guerras. En octubre de 2020, por ejemplo, las bolsas de tres continentes dijeron que problemas técnicos eran causa de los cierres, siendo la interrupción de todo un día en la Bolsa de Tokio la peor de su historia. Asimismo, el apagón de 10 horas de la Bolsa Mexicana de Valores fue el más largo de su historia reciente; Euronext NV cerró sus operaciones durante tres horas.

Los funcionarios de NZX se negaron a comentar para esta historia, pero les dijeron a los reguladores financieros que la magnitud del ataque no tenía precedentes y no se podía haber previsto. La Autoridad de Mercados Financieros, en su informe, no les creía: "Muchas otras Bolsas en todo el mundo han experimentado aumentos de volumen significativos y ataques DDoS, pero no hemos visto ninguna que se haya interrumpido con tanta frecuencia o durante un periodo tan largo".

NZX y gran parte de Nueva Zelanda sufren de una falta general de conciencia sobre los riesgos cibernéticos y no gastan lo suficiente en seguridad, dijo Jeremy Jones, jefe de ciberseguridad de la consultora de TI Theta en Auckland.

"Hay una razón por la que Nueva Zelanda es un objetivo muy jugoso para esto", agregó. "El país está altamente digitalizado y, por tanto, depende de internet y de los servicios en la nube. Pero históricamente estamos al menos 10 años más atrasados que el Reino Unido y Europa en medidas generales de ciberseguridad en el espacio comercial".

¿Por qué el frenesí de GameStop es en mayor parte un drama exclusivo de Estados Unidos?

***

A diferencia de un hackeo tradicional, en el que un atacante encuentra una forma de entrar en una red informática para robar información o bloquear archivos y exigir un pago, un ataque DDoS es simplemente un asalto de fuerza bruta: dirigir más datos inútiles a una empresa u organización de los que puede manejar.

Un tipo común de ataque DDoS implica convocar una red de dispositivos conectados a internet -desde ordenadores portátiles y servidores hasta dispositivos IoT como DVRs y monitores de bebés- que han sido infectados con malware. El grupo de dispositivos se conoce como botnet, es decir, un ejército de robots, que el atacante puede dirigir para que cumplan sus órdenes enviando instrucciones a cada dispositivo, o bot, según Cloudflare. La mayoría de las veces, los propietarios de los dispositivos no saben que sus aparatos han sido secuestrados.

Cuando cientos de miles de dispositivos se concentran en un único objetivo, como un servidor o una red, pueden desbordar las capacidades de los sistemas. Es una de las razones, por ejemplo, por las que los servicios de transmisión de programas de televisión populares se bloquean cuando millones de espectadores intentan descargar un episodio al mismo tiempo. Este es el elemento de "denegación de servicio" del ataque.

En las décadas transcurridas desde el primer ataque DDoS ampliamente reconocido en 1999 -en un solo ordenador de la Universidad de Minnesota-, los ataques DDoS han crecido en tamaño, sofisticación y regularidad, debido en parte al crecimiento de internet y de los dispositivos conectados a ella. En el primer semestre de 2020 se produjeron 4.83 millones de ataques DDoS, un 15 por ciento más que el año anterior, según NetScout. Solo en el mes de mayo, la firma registró 929 mil ataques DDoS.

En 2017, en lo que se cree que es el mayor ataque DDoS hasta la fecha, Google dijo que los hackers de estados nacionales lanzaron un asalto de seis meses a sus servidores, alcanzando un tamaño de 2.54 terabits por segundo. Un terabit es mil veces más rápido que un gigabit, que transmite datos a mil millones de bits por segundo. En un comunicado, Google señaló que el ataque no causó ninguna interrupción.

Hay varias maneras en que las empresas pueden reforzar sus ciberdefensas contra los DDoS, incluyendo tener suficiente ancho de banda para absorber cualquier diluvio de tráfico basura. También pueden desplegar capas de defensas, en las que cada una protege la capa que hay detrás, como dijo Google que hizo para bloquear el ataque a su red.

***

Unos meses después del cierre temporal de NZX, los atacantes dirigieron su atención a Telenor Noruega, una empresa de telecomunicaciones cuyo centro de operaciones de seguridad se encuentra en la ciudad costera de Arendal, inspiración para el pueblo mágico de Arendelle en la película de Disney Frozen.

Alrededor del 80 por ciento del uso de internet en Noruega pasa por la infraestructura de Telenor Noruega, y el centro de operaciones suele rechazar entre cinco y 30 ataques DDoS al día. El ataque de octubre descargó hasta 400 gigabits de datos por segundo en la red, una fracción de lo que se lanzó a Google, pero lo suficiente para atraer toda la atención de una empresa del tamaño de Telenor Noruega.

Al final, el servicio se interrumpió durante una hora aproximadamente, aunque el ataque duró tres, dijo Andre Arnas, jefe de seguridad del Grupo Telenor.

Gunnar Ugland, jefe del centro de operaciones de seguridad en Noruega, reconoció rápidamente los parámetros del ataque de octubre a medida que se producía: solo unas semanas antes su equipo técnico había escrito sobre el ataque NZX en el boletín de la empresa. La compañía también había tenido experiencia previa con grandes ataques DDoS y había construido "una infraestructura bastante masiva" para hacer frente a las interrupciones digitales, dijo.

"No siempre es fácil hablar abiertamente de estos temas, porque muestra cuando hay que ser capaz de ser abierto para discutir las amenazas y los riesgos", indicó Ugland. "Hay muchas empresas que no tienen defensas específicas contra los DDoS y probablemente tendrán un problema mayor durante mucho tiempo".

***

En Nueva Zelanda, el ataque DDoS ha suscitado un buen número de acusaciones, así como la frustración de que el NZX no estuviera mejor preparado.

Jeremy Sullivan, asesor de inversiones con sede en Christchurch, dijo que podía perdonar un fallo temporal, pero no una interrupción de un día, que retrasó el procesamiento de las órdenes. "Un ataque DDoS es el equivalente a entrar en un banco con un martillo y pedir dinero, es bastante burdo. El hecho de que no tuvieran defensas contra eso fue obviamente decepcionante", criticó.

Algunos investigadores de ciberseguridad, por su parte, dicen que creen saber cuál fue la causa de la oleada inicial de ataques: la dependencia de NZX de dos servidores locales que no tienen ni de lejos el ancho de banda necesario para hacer frente a un gran ataque DDoS. La Bolsa estaba en proceso de trasladarse a servidores basados en la nube como parte de una actualización planificada desde hace tiempo cuando se produjo el ataque.

Perder el acceso a esos servidores "significa que finalmente la empresa deja de existir en internet", dijo Daniel Ayers, un consultor de seguridad informática y de la nube con sede en Nueva Zelanda que trabajó con el personal de NZX durante la interrupción. "El correo electrónico no se puede entregar, las direcciones web no se pueden resolver".

Peor aún, añadió Ayers, esos servidores no tenían ni de lejos la suficiente protección DDoS una vez que el ataque se puso en marcha.

La Autoridad de los Mercados Financieros calificó de insuficientes la tecnología, el personal y los preparativos de NZX para una crisis. Señaló que un ataque DDoS era "previsible" y "debería haberse planificado". De hecho, se habían enviado correos electrónicos de extorsión similares a empresas neozelandesas durante 2019 con amenazas de acciones similares a las que sufrió NZX en agosto de 2020, según el regulador.

Independientemente, el ataque DDoS a NZX ha dejado una cosa clara: los días en que Nueva Zelanda actuaba como si fuera un "refugio seguro como Hobbiton" han terminado, comentó Andy Prow, el director ejecutivo de la firma de ciberseguridad con sede en Wellington RedShield Security, refiriéndose al idílico hogar de los Hobbits en El Señor de los Anillos.

"Nos hemos unido literalmente al resto del mundo'', dijo. "Nueva Zelanda está siendo golpeada como todo el mundo".

También lee: