Ahora, tras vivirlo en primera persona, creo que lo sé y hay tres reflexiones que me gustaría compartir.
1ª. ¿Cuánto cuesta un ataque?
Seguramente habrá quien piense que soportar un cíber-ataque por denegación de servicio basado en fuerza bruta resulta inocuo económicamente, pero nada más lejos de la realidad.
En primer lugar hay que valorar los costes energéticos. Hay una relación directa entre el consumo energético de los sistemas del datacenter y la carga que éstos deben soportar. La electrónica de red, los firewalls, los servidores de aplicaciones, los frontales web, los motores de base de datos, el almacenamiento y su consiguiente refrigeración consumen más y más energía a medida que aumenta la carga.
Y la cifra no es despreciable; un datacenter de tamaño medio consume en torno a 250.000 vatios/hora (por supuesto, muchísimo más si hablamos de grandes datacenters). Para poder entender la magnitud de la cifra, decir que es equivalente al consumo máximo de un edificio de viviendas de 20 plantas con 4 viviendas por planta. Cada minuto que el datacenter está al máximo de carga equivale a un importante incremento en la factura energética.
Pero aún siendo el gasto energético relevante, se queda realmente pequeño cuando se compara con los aumentos de potencia de TI para soportar hipotéticos futuros ataques.
Si en lugar de hablar de infraestructuras de TI se hablase de autopistas nadie en su sano juicio plantearía nuevas vías con cincuenta carriles para absorber la operación salida de verano. Como es de esperar, las infraestructuras de TI no se diseñan para soportar una carga infinita sino para soportar un número de veces limitado (5, 10, 20, ¿100?,...) la carga máxima estimada.
Y cada vez que se produce un ataque de denegación de servicio los responsables de la infraestructura atacada sienten la inmediata tentación de multiplicar por cinco la potencia de procesamiento disponible. Y esos aumentos de potencia suponen una inversión inicial enorme en hardware (decenas o centenas de miles de euros), otra a continuación en software (muchos sistemas basan su sistema de licenciamiento en la potencia de las máquinas), y otra última en forma de mayor consumo energético.
Y lo peor de todo: habrán construido su particular autopista de cincuenta carriles con el coste que ello supone pero ni aún eso les garantiza salir airosos del siguiente ataque.
2ª. Atacar un sitio web es muy similar a atacar una oficina tradicional
Algunas empresas no tienen presencia física, son ciento por ciento virtuales. Otras muchas tienen una parte importante de su negocio depositada en el éxito de su sitio web. Para ellas tener su sitio web fuera de línea puede suponer importantísimos costes económicos, bien sea por falta de ventas, por daños a su imagen pública u otros.
En el caso específico de una administración pública, y más en el de un ayuntamiento por ser la administración más cercana al ciudadano, su sitio web es algo muy similar al mobiliario urbano. Su web, construida con dinero público, permite la tramitación administrativa de ciudadanos y empresas, pero también permite otras cosas mucho más terrenales como reservar una pista de tenis o baloncesto para el día siguiente, renovar un préstamo de un libro en su biblioteca, consultar la agenda cultural de su ciudad,... En definitiva, constituye lo que podría llamarse el cíber-mobiliario urbano.
Sin embargo, la percepción ciudadana y mediática es muy diferente frente a hechos razonablemente similares. Se responde de forma muy diferente al hecho de quemar un contenedor de recogida de basuras y al ataque de un sitio web pese a que ambos suponen una merma de servicios ciudadanos y tiene un importante coste para las arcas públicas.
La legislación norteamericana habilita el uso de fuego real para responder a cíber-ataques, lo que a todas luces parece excesivo pero también es anormal el que los ataques a sitios web se publiquen en las redes sociales con absoluta impunidad. En algunos casos se pueden leer tweets que claramente incitan al ataque, en ocasiones incluso lanzados desde cuentas de Twitter asociadas a empresas.
3ª. El término cíber-activista
La última reflexión que considero relevante es la cobertura que los medios de comunicación dan a los cíber-ataques y más en concreto a quienes los realizan. Éstos son denominados cíber-activistas, posiblemente, en la búsqueda de similitud con los jóvenes de principios del siglo XX que viajaban a otros países para participar en guerras. Lo hacían únicamente por ideología, algo que, probablemente, terminó con la segunda guerra mundial.
Y es cierto que participan personas de todos los lugares. Cuando se geolocalizan las direcciones IP del ataque (los ataques actuales rara vez utilizan equipos zombies, por lo que suelen ser direcciones IP reales) se observa que muchos accesos provienen de lugares que nada tienen que ver con el problema que origina la protesta. Es decir, hay una cierta carga solidaria o ideológica similar a la de los jóvenes de principios del siglo XX.
Sin embargo, hay algo que falla en la denominación de cíber-activista. Si se da por buena la segunda reflexión, la de equiparar los cíber-ataques con los ataques a instalaciones reales, por reducción a lo absurdo habría que considerar activista (sin el prefijo cíber) a quien destruye mobiliario urbano o cristaleras de locales comerciales durante las manifestaciones. No tengo claro que la opinión pública esté tan de acuerdo con esto porque, probablemente, un ciber-activista es otra cosa.
Die endgültige
Internet y las redes sociales son en sí mismas una enorme oportunidad para igualar la potencia y capacidad de llegada del mensaje de las grandes corporaciones con el de las pequeñas asociaciones o incluso con el de las personas individuales, tanto en cantidad y calidad; Wikileaks es un claro ejemplo de ello. Pero mal vamos si se confunde esa potencia con la capacidad de realizar impunemente en el mundo cíber cosas que en el mundo real serían claramente punibles.
Enlaces relacionados:
› Seguridad TI: ¿hemos perdido la batalla?
› 8 lecciones de TI aprendidas con Wikileaks
www.tonsofit.com
* Nada de lo aquí expuesto juzga en modo alguno la razón -o su ausencia- para protestar contra medidas de empresas o instituciones que se consideren injustas. Lo único que analiza es si los cíber-medios para canalizar la protesta son adecuados.
Manu, gracias a la invisibilidad de internet la gente se atreve a hacer muchas cosas que de otr forma jamas haria. Es parte del problema .
ResponderEliminarEs cierto que todo lo que sucede con los cyber-ataques provoca un gasto "colateral" que pagamos el resto de ciudadanos y me incluyo entre estos. Pero más gastos provocan las grandes corporaciones (públicas y no públicas) por las que pasamos los ciudadanos y solo tenemos una vez cada 4 años para criticarlas (en el caso de las públicas, obviamente).
ResponderEliminarEl problema que veo es que el espíritu de los primeros hackers ha desaparecido. Ya no es suficiente con penetrar en la seguridad de alguna entidad, avisar del fallo y dejarlo hasta que lo solventen. Ahora es cuestión de sacar tajada, económica o por motivos egocentristas como: mirar donde he accedido y tu eres un "noob".
De todos modos (y espero no equivocarme por ingenuo), pienso que aún queda alguien que mantiene ese espíritu inicial de los primeros hackers y que (aunque se ha tomado la justicia por su mano) está avisando a "los grandes" de que no todo vale y todavía queda gente dispuesta a hacerles frente "invisibilidad mediante".
Me refiero a ese grupo hecho famoso por los medios convencionales, que flaco (intencionado diría yo) favor que les han hecho en la forma en que los han presentado a la audiencia. Si la gente se molestara más en saber sus verdaderas intenciones....
El asunto es que como se han metido con "grandes entidades", son el objetivo del punto de mira de todos gracias a su "endgültige spielen".
Me parece interesante lo que hacen, porque han logrado llamar la atención de "esas grandes entidades" y han sacudido conciencias adormiladas.
Creo que eso habla por sí solo de la situación actual y de cómo se nos está acostumbrando a vivir.
Lander, creo que es gracioso que todavía haya quien piense que puede navegar anónimamente por Internet. No digo que no se pueda, que se puede, pero hay que ser realmente muy bueno para no dejar ningún rastro que te vincule en un análisis forense posterior.
ResponderEliminarAlberto, es muy diferente el modelo de protesta estilo wikileaks del resto. Con algún pequeño matiz, en general estoy de acuerdo con un modelo donde simplemente se airean las miserias de las empresas/instituciones. Quien no quiera que algo malo se sepa, que no lo haga. No me parece mal modelo. Ahí dejo ese link:
8 lecciones de TI aprendidas con Wikileaks
Pero otra bien distinta es atacar un sitio web por el mero hecho de atacarlo. Eso, si se hiciera fuera del mundo ciber, tendría un nombre bien diferente. En el fondo no es más que la ley del Talión: tu haces algo que no me gusta y te ataco, ojo por ojo... O sea, la sociedad avanza a un ritmo brutal gracias a la tecnología y usamos la tecnología para hacer retroceder varios siglos al sistema legal. Menudo negocio hemos hecho!
Imagina esta situación: me levanto un día y decido ir a las oficinas de mi periódico preferido para poner un anuncio en la sección de clasificados donde digo que por la tarde atacaré las oficinas de la empresa xx. Y a la tarde llevo a cabo lo planeado. Seguramente, a la noche tendría cena gratis en alguna comisaría.
Pues ahora cambia el periódico por una red social, la oficina por un sitio web y et voilà!
Mismo comportamiento, diferente respuesta social.
Y no digo que no haya motivos para protestar por muchas cosas: los hay, los ha habido y los habrá pero el fin no justifica cualquier medio.