Lo que comenzó como un simple rescate digital se convirtió rápidamente en una batalla de redes transcontinental.
La nota de rescate llegó en medio de la noche, y no parecía ser gran cosa. «Hicimos saber a los usuarios que habíamos sido golpeados, llamamos al ISP, y luego nos volvimos a dormir», dijo el CEO de ProtonMail y exalumno del CERN, Andy Yen. «Normalmente estos tipos te pegan un par de veces y luego te vas, así que ignóralos.»
Lo que vino después fue imposible de ignorar.
Menos de doce horas después, en la mañana del miércoles 4 de noviembre de 2015, «las cosas estaban fuera de control», dijo Yen. La compañía de correo electrónico seguro con sede en Suiza ProtonMail se vio afectada por uno de los mayores ataques de denegación de servicios distribuidos (DDoS) de Europa. Los servidores de ProtonMail fueron golpeados con una pared de datos basura de 50 Gigabit por segundo que amenazaba con hundir a la compañía.
ProtonMail no es simplemente una puesta en marcha de tecnología. Nacido del trabajo realizado en el CERN, el laboratorio de investigación responsable de la operación del Gran Colisionador de Hadrones, la misión de ProtonMail es desarrollar e implementar herramientas de comunicación y correo electrónico encriptadas de extremo a extremo.
Al igual que Lavabit, el proveedor de correo electrónico Edward Snowden solía comunicarse con periodistas, ProtonMail se utiliza para enviar comunicaciones seguras a todo el mundo. «La vida de los periodistas, disidentes y denunciantes depende de la fiabilidad y seguridad de los servicios de correo electrónico cifrados como ProtonMail», dijo Frederic Gargula, cofundador de IP Max, el proveedor de servicios de Internet (ISP) con sede en Ginebra que ayudó a defender ProtonMail durante el ataque.
ProtonMail utiliza encriptación de extremo a extremo para asegurar que incluso la propia empresa no tenga acceso a los mensajes de los usuarios. Todos los datos se cifran y descifran por parte del cliente, y los datos se protegen con una frase de contraseña que la empresa no posee. Además de proporcionar una fuerte seguridad, esto ayuda a asegurar que la empresa no pueda compartir los datos de los usuarios con terceros, o escanear los datos de los usuarios para servir anuncios específicos. Yen dijo sobre la seguridad de la plataforma, «si ProtonMail se rompe en el futuro, sólo los datos encriptados serían accesibles para los atacantes». Y sin la frase de contraseña, dijo, los datos del usuario son inútiles.
Aunque los ataques DDoS son comunes y crudos, también son efectivos para interrumpir la infraestructura de redes crítica. «Cuando empresas como ProtonMail son atacadas, toda la comunidad de seguridad se ve amenazada», dijo Gargula.
En realidad, ProtonMail fue atacada por dos grupos de atacantes, pero el miércoles por la mañana, dijo Yen, no estaba claro quién estaba atacando. El primer grupo, supuestamente un grupo conocido como Armada Collective, envió un ataque de prueba de 15 minutos que llegó poco después de exigir un rescate de casi 6.000 euros, para ser entregado mediante el uso de la cripto-divisa semi-anónima Bitcoin. Esta solicitud de rescate fue inicialmente ignorada por el equipo de ProtonMail.
«A las 2 de la tarde hubo una dramática escalada», dijo Yen. Según Yen y Gargula, los atacantes golpearon 15 nodos ISP diferentes simultáneamente, y luego atacaron a todos los ISP que entraban en el centro de datos utilizando una amplia gama de tácticas sofisticadas. «Este ya no era un DDoS estándar», explicó Yen, «de hecho, la mayoría de los expertos con los que hablamos nunca habían visto algo así».
Gargula estuvo de acuerdo, «cuando llegué a la oficina el miércoles sabía que íbamos a ser atacados, pero mi primera prioridad era apoyar a nuestros clientes. No tenía idea de lo intensa que sería la pelea».
«Primero movimos el prefijo IP BGP», dijo Gargula mientras detallaba el ataque, «Intenté aislar el tráfico humano legítimo del tráfico de botes y no mezclarlo. Sacrificamos una de sus tres capas de enlace ascendente BGP como’canario’ para probar la sofisticación del ataque. Luego cambiamos la configuración para el enlace ascendente IP».
Los nuevos atacantes eran increíblemente avanzados, explicó Gargula, y se hicieron más sofisticados a lo largo de la semana. «Cada vez que hacíamos un cambio de táctica, ellos respondían con un cambio», dijo. «Era como el ajedrez: tú mueves una pieza, ellos mueven una pieza. En ese momento, se hizo evidente que teníamos una situación muy grave entre manos».
El segundo ataque fue devastador y tuvo un impacto de gran alcance. «Los segundos atacantes afectaron a muchas otras compañías», dijo Yen. «También perdieron el acceso a la infraestructura crítica de la misión.»
Mapa de datos regionales del ataque DDoS de ProtonMail | Imagen: IP Máximo
El centro de datos principal de ProtonMail estaba completamente desconectado, y los ISPs regionales estaban luchando para mantenerse al día. «El daño colateral para entonces eran cientos de empresas, algunas de las cuales se encontraban en Moscú», dijo Gargula.
En este punto, las empresas afectadas presionaron rápidamente a ProtonMail para que pusiera fin al ataque y todas las empresas afectadas se reunieron para mantener conversaciones de alto nivel sobre el pago del rescate. «Desde el principio, ProtonMail siempre se ha opuesto a pagar[el rescate]», explicó Yen, «pero después de discusiones con otras compañías afectadas, y considerando la cantidad total de daños colaterales, respetamos la decisión de pagar».
ProtonMail cometió un error comprensible pero crucial al pagar el rescate, dijo Tim Matthews, vicepresidente de marketing de Imperva Incapsula. La compañía estaba siendo atacada y respondió de una manera que ellos pensaban que mitigaría el daño. Sin embargo, explicó Matthews, «una vez identificada como una organización que pagará a los demás, puede que atrape el viento y se interponga en su camino».
Sin embargo, lo que pasó con ProtonMail fue mucho peor. Después de pagar el rescate, los ataques continuaron. Al quedarse sin opciones, ProtonMail se puso en contacto con la agencia gubernamental suiza MELANI y abrió un diálogo con otras compañías recientemente afectadas por los ataques de extorsión. Después de comparar las notas, la amarga verdad se hundió.
«Nos dimos cuenta de que estábamos tratando con un atacante diferente, mucho más aterrador. Uno que no encajaba en el patrón de ningún ataque anterior», dijo Yen. «En este punto sabíamos que había dos atacantes. Y al que nos ataca ahora no le importaba la fama o el beneficio económico, sino que su único objetivo era matar a ProtonMail a cualquier precio».
En ese momento, el equipo de Yen sabía que estaban en guerra.
El ataque continuó durante toda la semana, y los desafíos logísticos fueron tan grandes como lo que estaba en juego. Si su equipo fallaba, ProtonMail carecería de los recursos para continuar operando y dejar de existir. Sin embargo, para tener éxito, el equipo de Yen tuvo que mitigar el ataque, financiar la defensa y encontrar una solución permanente. «Fue desalentador», dijo.
El equipo de Yen estaba exhausto, pero decidido a defenderse del aluvión. Abordaron el problema como científicos, dijo, y lo abordaron metodológica y sistemáticamente. «Un equipo se separó rápidamente para investigar el ataque contra nosotros, otro fue a buscar ayuda de nuestros usuarios y un tercero inició conversaciones con nuestros socios y amigos en Suiza».
Rompieron el rompecabezas en tareas manejables. «Si el ISP o el centro de datos podía ser atacado, estaba claro que protegerlo no era suficiente», dijo Yen. Tenían que protegerlo todo, desde el rack de servidores, «hasta las principales puertas de enlace de Internet, y luego, de alguna manera, hacer la ingeniería, financiar las tareas y encontrar al proveedor de protección DDoS que pudiera protegernos», dijo, «todo en el lapso de un par de días».
ProtonMail fue financiado por la multitud, es gratis y tiene pocos recursos para la defensa. El pequeño equipo de ProtonMail no tenía ingenieros de red dedicados, ni presupuesto suficiente para defenderse del ataque, y el centro de datos estaba enterrado en un búnker de montaña a 114 kilómetros del principal punto de presencia (PoP) de Internet en Zurich.
«Para resolver el problema de la financiación, recurrimos a los medios de comunicación social y pusimos en marcha nuestra campaña de financiación colectiva», dijo Yen, «e inmediatamente los usuarios se pusieron a apoyarnos. Esto nos conmovió profundamente, normalmente cuando un servicio se cae, los usuarios nos piden que les devolvamos su dinero, pero en su lugar nos lo devolvieron sin saber si alguna vez podríamos recuperarnos de esto».
Radware contribuyó a proporcionar protección DDoS, y durante una maratón de 18 horas el sábado IP Max, la pequeña empresa de Frederic Gargula, trabajó incansablemente para conectar el centro de datos con el enlace principal.
«Incluso otros expertos de la red se unieron al rescate», dijo Yen, «los tipos que habían construido tanto el centro de datos en Zurich como nuestro centro de datos estaban íntimamente familiarizados con la forma de recablear ambas instalaciones».
Ayudar a ProtonMail era arriesgado, ya que podía exponer potencialmente a otras empresas a la ira de los nuevos atacantes por los datos. Un ingeniero de Google en Zurich se dirigió al centro de datos para realizar una conexión cruzada. Las comunicaciones de nivel 3 intervinieron para proporcionar un tránsito IP de emergencia. No fueron sólo estos tipos los que ayudaron», dijo Yen, «toda Suiza se unió para ayudarnos». Muchos centros de datos y especialistas en redes nos ofrecieron asistencia, sabiendo los riesgos de ayudar».
Ayudamos porque[ProtonMail] son como nosotros», dijo Frederic Gargula, «son parte de nuestra comunidad de redes y seguridad». Se preocupan por la encriptación y protegen la privacidad del usuario».
Finalmente, en la madrugada del domingo 8 de noviembre de 2015, después de una larga lucha, el equipo conjunto de ProtonMail, IP-Max y Radware logró cambiar la situación. Los ataques continuaron una semana después del ataque, pero fueron mitigados.
«Un DDoS de una semana de duración sigue siendo bastante largo, y no podemos descartar la posibilidad de que se estén reagrupando», dijo Yen, reflexionando. «Así que nos mantenemos vigilantes. Es posible que ahora quieran cambiar de táctica, ya que estamos muy bien protegidos contra los ataques convencionales».
El segundo grupo de atacantes sigue siendo Gargula y Yen. «DDoS se está convirtiendo rápidamente, si no ya, en una herramienta básica», dijo Robert Morton, Director de Relaciones Públicas de Akamai. «No se necesita mucho dinero, ni necesariamente habilidad para lanzar lo que podría ser un ataque devastador. Eso significa que cualquier negocio en línea podría ser un objetivo».
Tod Beardsley, Director de Investigación de Seguridad de Rapid7 está de acuerdo. «Las herramientas de DDoS son bastante comunes», dijo, añadiendo que las herramientas para realizar un ataque masivo como el experimentado por ProtonMail pueden ser utilizadas por actores estatales como Corea del Norte, o grupos organizados dentro de estados permisivos como Rusia. Lamentablemente, dijo, los culpables podrían ser cualquiera.
Escalofriantemente, «el segundo atacante nunca ha hecho ninguna demanda ni ha tomado el crédito públicamente», dijo Yen, describiendo la segunda ola de ataques más masiva. «Su única intención era mantener ProtonMail fuera de línea.»
Leer más: