Cada día que pasa está más clara la importancia de Internet en el contexto de cualquier conflicto, tanto nacional como internacional. A veces la red ha sido el lugar donde se han iniciado, como ocurrió con la Primavera írabe, y otras se convierte en un vistoso escenario, donde las partes implicadas buscan notoriedad pública. Tal es el caso del reciente ataque, por parte del grupo Syrian Electronic Army, a la edición online del diario The New York Times, el diario Huffington Post, el servicio de imágenes de Twitter y, posiblemente, algunas otras páginas y servicios web. Gracias a la información publicada por Matthew Prince, de la empresa Cloudfare, podemos saber qué hicieron los hackers para perpetrar este ataque.
Para comprender la lógica del ataque, primero es necesario saber cómo funciona el sistema de direcciones de Internet. Seguro que has escuchado alguna vez hablar de los servidores DNS, ¿verdad? Es más, hasta es posible que los hayas tenido que configurar en tu conexión de casa a Internet. Vale, pues es imporante que sepas que los servidores de nombres de dominio (domain name servers) son los principales responsables de que todo el tráfico de datos de Internet se dirija en la dirección adecuada. Son, para que lo entiendas mejor, grandes directorios en los que se almacena información sobre dónde (en qué servidor con qué dirección IP) se encuentra cada elemento de la red. Por buscar un ejemplo más «humano», pongamos que tienes un amigo, cuyo nombre conoces, y al que quieres llamar por teléfono, ¿el problema? No sabes su número. En tal caso, lo más normal es llamar a un número de información en el que, simplemente facilitando su nombre, podrán averiguar su número y facilitártelo. Salvando las distancias, eso es lo que hace un servidor DNS: toma un nombre (por ejemplo www.tuexperto.com) y devuelve su dirección IP exacta para que puedas acceder al mismo.
Ahora tenemos que hablar de direcciones web y de dominios, es decir, los sufijos que se muestran en las páginas web tras su nombre ,por ejemplo .com, .es, .net, etcétera. Cuando alguien crea una página web y, claro, contrata un servicio de hosting, normalmente contrata el dominio con la misma empresa que le va a prestar dicho servicio, y a su vez la empresa de hosting lo registra en la entidad administrativa de la que éste dependa. Un ejemplo: si vas a crear la web mipaginapersonal.es, lo más normal es que contrates el paquete de hosting con una de las empresas que ofrecen este servicio. Y ésta, a su vez, se pondrá en contacto con Red.es, que es el organismo que se encarga de administrar los dominios .es para realizar el registro. En caso de que contrates una página web .com, es la empresa norteamericana Verisign quien se encarga de administrarlos. Es decir, que cada dominio de Internet tiene una entidad (pública o privada) responsable de gestionarlo. Así, aunque tú contrates tu hosting con, por ejemplo, Arsys, el dominio no depende directamente de esta empresa, sino del responsable del dominio.
También existen empresas cuyo único servicio es ofrecer el registro de dominios, sin el servicio de hosting asociado. Esto es útil si, por ejemplo, una empresa dispone de los servidores en los que va a alojar su web y, por lo tanto, sólo necesita la dirección y, claro, el servicio de DNS. Estas empresas son conocidas de manera común como registradores de dominios.
Por otra parte, cuando tú contratas un servicio de hosting, es esta misma empresa quien te ofrece el servicio de DNS. Y por norma general es algo de lo que no te debes preocupar. Al acceder al panel de control de tu hosting, puedes ver y, si lo deseas, modificar la direccion de los servidores DNS (generalmente son dos) que apuntarán a tu página web. Este parámetro sí que depende de la empresa de hosting y es fácilmente modificable si tienes necesidad de ello, aunque no es común el tener que hacerlo. No obstante, las entidades administradoras de los dominios (como Red.es o Verisign) también pueden hacer modificaciones al respecto.
Entonces, recapitulando, tú contratas el hosting y un dominio asociado, la empresa de hosting registra tu dominio en la entidad correspondiente. Creas tu página web y, cuando está lista, la publicas y, desde ese mismo momento, los servidores DNS asociados a tu web se encargan de dirigir todo el tráfico a los servidores en los que se encuentra, claro, tu página web.
¿Y qué ha pasado con The New York Times?
The New York Times, Twitter, The Huffington Post y, eventualmente, otras webs y servicios atacados por SEA, tienen sus dominios registrados a través de la empresa australiana Melbourne IT, que goza de bastante prestigio entre los profesionales por su, hasta ahora, alto nivel de seguridad. Según ha informado la empresa al medio online Thenextweb, los hackers consiguieron las claves de acceso al panel de control de uno de sus resellers (profesionales y empresas que ejercen de intermediarios entre sus propios clientes y Melbourne IT). No han aclarado las webs y los servicios que dependían de dicho reseller, por lo que la lista de webs y servicios afectados podría ser mayor.
Una vez dentro del panel de control, ya te hemos comentado anteriormente que una de los ajustes posibles es modificar los servidores DNS que apuntan a las webs, ¿no? Pues aprovecharon dicha posibilidad y, modificándolos, redirigieron todo el tráfico de los servicios afectados a sus propios servidores. Volvamos a la analogía con los números de teléfono. Cada vez que alguien llama al número de información, el teleoperador consulta su base de datos y te facilita el número que buscas. Así, si yo me «cuelo» en la base de datos y cambia, por ejemplo, el número de La Moncloa por el mío propio, cada vez que alguien emplee el dicho sistema creerá obtener el número de la residencia del Presidente del Gobierno, pero en realidad estará contactando conmigo… y habrá que ver con qué intenciones he hecho algo así.
Ya se han tomado varias medidas para solucionar el problema. La primera es que ha sido la propia Verisign quien ha asignado los servidores DNS asociados a las páginas afectadas, y los ha bloqueado para evitar que puedan ser modificados incluso si los hackers aún tienen acceso al panel de control de Melbourne IT. Y es que, por orden jerárquico, si la entidad de la que depende un dominio realiza cualquier cambio sobre el mismo, este prevalece sobre lo que pueda hacer el hosting o registrador de dominios.
Ahora, tras el restablecimiento del servicio, cabe esperar una completa investigación, que permita saber cómo los hackers del Syrian Electronic Army pudieron hacerse con las claves de acceso al panel de control de Melbourne IT. Es evidente que deben saber qué cuenta es la que han empleado, por lo que el siguiente paso es averiguar el cómo. Seguramente, sean datos que nunca lleguemos a saber, debido a que pueden comprometer aún más la seguridad de la compañía pero, en todo caso, sería realmente interesante saberlo, ¿no crees?
