27.000 direcciones IP atacaron las webs de La Marea y El Salto durante 116 horas

116 horas. Ese es el tiempo en que La Marea fue silenciada. Durante cinco días este medio y El Salto no pudieron informar de forma normal debido a un ciberataque de denegación de servicio o DDoS. Aunque no fue el único medio. Los objetivos del atacante, que usó hasta 27.000 direcciones IP, fueron siete sitios web alojados en el proveedor de servicios Nodo50: El Salto, La Marea, Arainfo, Kaos en la Red y la propia página de Nodo50.

Como ha informado esta martes Nodo50, entre los días 19 y 23 de noviembre de 2021 se produjo un ataque continuado de denegación de servicio que tuvo como objetivo siete sitios web alojados en sus servidores. Una semana después y tras el análisis pormenorizado de 107 gigabytes de información en forma de logs —registros informáticos— con 428 millones de líneas de código, el proveedor ha hecho públicos algunos datos.

Uno de ellos es la información relativa a la autoría de este ataque, iniciado en la víspera del 20N. Nodo50 apunta a que la agresión fue probablemente obra de una única persona debido al comportamiento de los ataques recibido. Según sus investigaciones, gran parte de las redes infectadas proceden de India, Vietnam, Túnez y Rusia, con muchos ebots dentro de redes domésticas, “lo que sugiere que el atacante compró acceso a una infraestructura de ataque que tiene el control de dispositivos de IoT (Internet de las cosas) o de dispositivos infectados por malware”. A pesar de los países mencionados y teniendo en cuenta las horas de inicio y final de los ataques, desde Nodo50 apuntan a que el atacante se encontraba «en la zona horaria del Estado español o en alguna próxima».

Actualmente, no tenemos información confirmada sobre la identidad del atacante. La fecha elegida y los objetivos seleccionados -todos medios de comunicación independientes- han impulsado especulaciones en las redes sociales sobre que podría haber algún componente ideológico. Sin embargo, a fecha de hoy no podemos confirmarlo.

«Estos ataques rara vez son reivindicados, pero en este caso alguien que reclamaba la autoría se puso en contacto por Twitter con los medios atacados y con Nodo50. Desde la cuenta de Nodo50 se le pidió una prueba de la autoría, cosa que hizo anunciando la interrupción del ataque contra www.kaosenlared.net, lo que efectivamente sucedió», explican desde el servidor.

Se trata de la cuenta de Twitter @a66229952, que fue eliminada el sábado 20, sin que haya vuelto a ponerse en contacto por otros medios. «Ignoramos si la cuenta fue auto borrada o si Twitter la canceló por reportes de otros usuarios/as», aclaran.

La web especializada Xataka sostiene que el DDoS es «una técnica bastante sencilla, aunque puede haber algunas modificaciones».

La Marea y El Salto han denunciado el ataque contra la libertad de información sufrido y el caso se encuentra en manos de las autoridades.

Qué es un ataque DDoS

Un ataque DDoS o “ataque distribuido denegación de servicio” (Distributed Denial of Service) se produce cuando un grupo de personas o automatismos atacan a un servidor u ordenador desde muchos equipos a la vez. Este flujo masivo de datos hace que los recursos del servidor acaben siendo insuficientes por lo que la web deja de funcionar. Es decir, no se produce un acceso interno a la web sino una saturación de la misma. O dicho de otra manera: es como si haces 100 pedidos de pizza a casa y todos los repartidores llegan a la vez, sin poder entrar por la única puerta disponible.

Puedes leer toda la información técnica publicada por Nodo50 en su web.