La caída, que parece haber afectado sobre todo a Estados Unidos y principalmente la costa este del país, empezó alrededor de las 07:10 EST del vie es. Entre las páginas web que lo sufrieron estaban Twitter, Reddit, Spotify, The New York Times y hasta la nuestra. (Actualización: un segundo ataque golpeó a Dyn a las 11:52 EST).
El ataque parece haber sido causado por una gran acción distribuida de negación de servicio (DDoS, por sus siglas en inglés) dirigida a los servidores de la empresa de gestión de nombres de dominio (DNS, por sus siglas en inglés) Dyn. Normalmente, un ataque DDoS sobrecarga un servidor con solicitudes. El aluvión impide que el servidor responda las solicitudes de los usuarios legítimos. La DNS es una gran base de datos que, entre otras cosas, convierte un sencillo nombre de dominio en una dirección IP más compleja de la que se pueden extraer datos. Deshabilitar un servidor de DNS implica que el navegador del usuario no lo puede utilizar para resolver en qué dirección IP podrá acceder a la información de una página web.
Crédito: Lindsey Tu er (Flickr).
Dyn parece haber respondido rápidamente. Logró mitigar el ataque y restaurar la función de sus registros de DNS en dos horas. Pero durante ese tiempo a muchos usuarios les resultó imposible cargar algunas páginas y el tráfico cayó dramáticamente.
Los ataques de DDoS no son ninguna novedad, pero Schneier ha señalado que pueden ser cada vez peores. "Recientemente, algunas de las principales empresas que proporcionan la infraestructura básica que hace que inte et funcione han observado un aumento de los ataques DDoS dirigidos a ellas", explicó en una actualización de blog. El experto continúa: "Estos ataques son significativamente mayores que los que suelen observar. Duran más tiempo. Son más sofisticados".
De hecho, Schneier señaló el mes pasado que la nueva oleada de ataques parece estar motivada por la investigación, lo que no sucedía en anteriores ataques DDoS. Muchos de los ataques parecen estar poniendo a prueba los servidores en lugar de provocar su inhabilitación al aumentar gradualmente los aluviones de solicitudes a una parte del servidor para comprobar cuánto puede aguantar, para después dirigirse a otra parte, y a otra. Schneier advirtió de que "alguien está aprendiendo a deshabilitar inte et".
Está claro que el ataque a Dyn fue más que una simple prueba, y su gravedad desde luego concuerda con la hipótesis de Schneier de que alguien en alguna parte intenta aprender a generar una interrupción masiva. La pregunta de quién está detrás de estos ataques sigue sin respuesta. Los criminales tienen pocas probabilidades de efectuar tales ataques porque no generan grandes beneficios aparte de la perturbación masiva. Eso confiere peso a la sugerencia de Schneier de que un gran estado nacional, como China o Rusia, podría estar desarrollando capacidades de DDoS a gran escala, aunque resulta imposible poder afirmarlo.
La buena noticia es que la base de datos de DNS es distribuida: hay copias de los mismos datos por todo inte et, y eso la hace bastante robusta. Pero como revela el incidente de Dyn, a los registradores de dominios les lleva tiempo recuperarse de los ataques. Si los hackers deshabilitaran varios servidores a la vez, el efecto podría ser aún más pronunciado, una amenaza que aún podría cumplirse.