Nota: Go Daddy ha emitido un comunicado oficial donde afirma que el incidente no se debió a un ataque externo de denegación de servicio. No obstante, no pudiendo confirmarse dicha información, consideramos que esta reflexión es útil de todas formas, más allá de este incidente puntual.
Ya es noticia conocida que el día Lunes 10 de Septiembre , la compañía dedicada al registro de dominios de Internet, GoDaddy, sufrió un ataque de denegación de servicio, afectando de esta manera varios de sus servicios y transitivamente a un gran número de sitios web. GoDaddy cuenta con más de 53 millones de dominios y en su momento reconoció la problemática a la que se enfrentaban. Asimismo, el responsable de este ataque reconoció pertenecer al grupo Anonymous, aunque desligó de toda responsabilidad a este último asumiendo que actuó por su cuenta. En primera instancia el ataque se justificó debido al apoyo de GoDaddy con respecto a las iniciativas PIPA y ACTA.
¿Cómo se realizó el ataque?
La pregunta que gira en torno a este reciente incidente es cómo fue realizado el ataque para poder dejar fuera de servicio a una compañía de las características de GoDaddy. Si bien, en esta instancia no existe certeza de quién está detrás de este incidente, quien se adjudicó el ataque declaró en su propia cuenta de Twitter que el ataque de denegación de servicio se llevó a cabo a través una red botnet que él mismo controla. A continuación se adjunta una captura de uno de sus tweets donde responde de forma clara que el ataque fue realizado a través de bots:
Al parecer, el ataque se realizó a través de IRC bots. Estos últimos corresponden a sistemas infectados que se conectan a un canal dentro del antiguo protocolo IRC. De esta forma son capaces de recibir instrucciones de forma remota. En otras palabras, el atacante utilizó una gran red de computadoras a su disposición y dirigió miles de consultas a los servidores de la ya mencionada compañía. De esta manera, los recursos de la compañía fueron desbordados, dejando varios servicios de la misma fuera de operación. Cabe aclarar que muchas de las víctimas de esta red botnet participaron de este ataque sin siquiera conocer que esto realmente estaba sucediendo.
Es importante destacar que, en la actualidad, uno de los usos que se les da a las botnets es el de ataques de denegación de servicio distribuidos (DDoS), entre otros tales como el robo de información bancaria, contraseñas, etc. La finalidad es utilizar los recursos de todos los sistemas infectados sobre los que el ciberdelincuente tiene control y enfocarlos en un mismo objetivo.En el caso de Latinoamérica, existe una fuerte presencia del gusano Dorkbot. Desde el Laboratorio de ESET en la región recomendamos la lectura de nuestro post titulado Infografía dorkbot: más de 80.000 bots en Latinoamérica donde se resume de forma muy clara el comportamiento y las características de una las botnets con más presencia en Latinoamérica.
Aunque muchos usuarios suelen considerar lo contrario, este tipo de ataques no son improbables, ni siquiera para una compañía de las dimensiones de GoDaddy. El reclutamiento de bots que existe, incluso en Latinoamérica, permite realizar ataques enfocados a compañías además de amparar otro tipo de actividades no legítimas tal como el robo de información bancaria como ya hemos hablado anteriormente del poder de las botnets. Finalmente recomendamos al usuario contar con una solución antivirus con capacidad de detección proactiva que permite estar protegido de estas amenazas tales como son los códigos maliciosos con características de botnet.
Fernando Catoira
Analista de Seguridad
