Libertad de información
La deficiente respuesta de las operadoras de telecomunicaciones en caso de ciberataque

El análisis del ciberataque DDoS que sufrieron el pasado noviembre las páginas web de La Marea, El Salto, AraInfo y KaosEnLaRed realizado por su proveedor de servicios, Nodo50, reveló que en él participaron 27.000 IPs a lo largo de 116 horas. Parte de esas IPs pertenecía a las operadoras españolas Vodafone, Orange, Telefónica-Movistar, Arsys, Aire Networks y Adamo. Por ello, desde Nodo50, La Marea y El Salto se puso en conocimiento de dichas empresas lo ocurrido.

En un primer correo electrónico, enviado el 26 de noviembre, se informó a los respectivos departamentos de ciberabusos de las empresas mencionadas de cuáles eran sus IPs implicadas en el ciberataque y se les solicitó que conservaran toda la información posible sobre las mismas. Previamente, este se había comunicado ante las autoridades —mediante una denuncia tramitada ante la policía y un correo dirigido al Instituto Nacional de Ciberseguridad (INCIBE)—.

Tres días después de esta primera comunicación, al no haber recibido respuesta de ninguna de las operadoras, Nodo50 y los dos medios independientes reenviaron la notificación del ciberataque. Tras insistir, el 29 de noviembre, respondió Nemesys Abuse Team —el departamento para ciberdelitos de Telefónica-Movistar— indicando lo siguiente: “Siguiendo nuestro protocolo de actuación, se informó al usuario de la dirección IP implicada en los hechos, recomendándole que tomara todas las medidas necesarias para revisar sus equipos en busca de algún malware y/o alguna vulnerabilidad que pudieran ser responsables de los ataques”.

En el ataque a La Marea y El Salto participaron 27.000 IPs a lo largo de 116 horas. Parte de esas IPs pertenecía a las operadoras españolas Vodafone, Orange, Telefónica-Movistar, Arsys, Aire Networks y Adamo

Tras constatar que Telefónica-Movistar parecía asumir que no se había producido un ataque “consciente e intencionado” sino la infección de un equipo informático, desde Nodo50 contactaron de nuevo con la compañía el 2 de diciembre para confirmar si esta suposición partía de una investigación. También preguntaron si era posible conocer el protocolo de actuación en estos casos, así como si se suele hacer un seguimiento de los mismos. Un día después, Nemesys Abuse Team alegó en un correo electrónico que tienen el proceso de atención altamente automatizado y no dio respuesta al resto de cuestiones planteadas.

En el caso de Aire Networks, esta operadora contestó al correo el 2 de diciembre indicando que habían “informado” a su cliente “para que tome las medidas oportunas” y añadiendo “te mantenemos informado”. Ni Nemesys Abuse Team ni Aire Networks se han vuelto a pronunciar dos semanas después.

En el momento de la publicación de este artículo, Nodo50 seguía sin obtener respuesta por parte del resto de operadoras mencionadas, ni siquiera un mensaje automático de apertura de tickets [sistema de seguimiento de incidencias] o de confirmación de recepción del correo.

“Nos parece que no realizan ninguna investigación para saber si se trata de un dispositivo infectado —es decir, si su cliente no sabe que está participando en un ataque— o si está siendo usado por el responsable del ataque. En esa IP podría residir el software de comando y control de la botnet [red de equipos informáticos infectados con software malicioso que permite su control remoto], lo que podría ser una pista importante para localizar al autor”, explican con frustración desde Nodo50. “Nos da la impresión de que tiran por lo más fácil y que menos costes les supone: dar por hecho que es simplemente un dispositivo infectado o comprometido. Y además parece que le pasan la responsabilidad a su cliente al decirle que ‘tiene que revisar sus equipos’. Pero ¿hacen un seguimiento de que esa posible infección haya sido eliminada y el equipo ya no forma parte de la botnet?”, se preguntan.

‘Protocolo habitual’

Dos compañías, Telefónica-Movistar y Vodafone, sí ofrecieron más información a este medio tras contactar con ellas en calidad de periodistas para este reportaje, al igual que sucedió con Twitter. Telefónica-Movistar confirmó que habían contactado “con el cliente que tiene asignada la IP que figuraba entre las causantes del ataque (DDoS), informándole de que su IP estaba causando ataques a otras páginas, por lo que debía actuar para subsanar este problema”.

Denunciar un ciberataque en Twitter: misión casi imposible

Ana Veiga

Ciberseguridad

Ciberseguridad Denunciar un ciberataque en Twitter: misión casi imposible

Ana Veiga

Hay tres muros que dificultan la denuncia por abuso a un usuario de Twitter: la burocracia interna, la dificultad de obtener datos fiables tras el perfil y el tiempo –además del dinero– que nos lleve hacerlo.

Ciberseguridad La soledad ante un ciberataque en España

Ciberseguridad El negocio de los ataques de denegación de servicio DDoS

Telefónica-Movistar ha insistido en que este es el protocolo habitual y que “el problema está en los equipos de su propiedad (del atacante), no en equipamiento de Telefónica”, terminando su comunicación escrita subrayando que los ataques DDoS “no están causados por una única IP, sino por un número mayor (decenas, cientos e incluso miles) de IPs”. 

Por su parte, la respuesta de Vodafone ha sido similar, aunque en este caso la multinacional ha añadido la siguiente coletilla: “si entre el volumen de dispositivos infectados hay IPs de clientes de Vodafone, nuestra compañía no es responsable de las actividades que llevan a cabo esos clientes”. 

“Nos da la impresión de que tiran por lo más fácil y que menos costes les supone: dar por hecho que es simplemente un dispositivo infectado o comprometido. Y además parece que le pasan la responsabilidad a su cliente al decirle que ‘tiene que revisar sus equipos’", dicen desde Nodo50

“Echamos en falta ayuda e información desde las operadoras de nuestro país”, insiste Nodo50. En cambio, sí la ha recibido de un operador japonés de VPN [Virtual Private Network, una herramienta que permite ocultar una IP tras otra] que usó el atacante. “Después del primer momento, ha entendido la gravedad del caso y nos ha explicado los pasos a seguir para poder identificar los servidores usados por el atacante. También nos ha explicado que las autoridades españolas deben solicitarle los datos”, explican responsables de Nodo50. 

La obligación de atender al cliente

Los canales de denuncia que las operadoras ofrecen a sus usuarios no son obligatorios pero sí lo son los canales de atención al cliente. Sin embargo, en muchas ocasiones, las respuestas recibidas son mensajes estandarizados que terminan en el olvido.

La doctora en Derecho y Presidenta de la Asociación de Internautas, Ofelia Tejerina, recuerda que, tal y como figura en el Real Decreto-ley 12/2018, las operadoras españolas deben “resolver los incidentes de seguridad que les afecten, y solicitar ayuda especializada, incluida la del CSIRT de referencia [equipo de respuesta a incidentes de seguridad informática, por sus siglas en inglés], cuando no puedan resolver por sí mismos esos incidentes”. 

Esta experta aconseja que, además de una primera denuncia a la policía o el juzgado de guardia, el representante legal de un usuario particular que sufra un ciberataque puede solicitar medidas cautelares a las multinacionales para “conservar las evidencias electrónicas” como, por ejemplo, el rastro de comunicaciones de una IP sospechosa de un delito. Si, tras esta acción, la operadora no toma medidas para la conservación de la información relevante para el caso, “el juzgado puede determinar que hubo negligencia en el cuidado de las cosas y achacarle responsabilidades”, aclara la abogada.

Sí es cierto que debemos diferenciar entre evidencias electrónicas —datos no personales como la actividad desde una IP— y los datos personales. En el primer caso, no hay un plazo máximo de conservación sino que “deberán estar a disposición del juzgado hasta que el juez los solicite”, explica Tejerina. En lo referente a los datos personales del titular de la IP atacante, es vital que el juzgado los solicite dentro del plazo de dos años siguiendo la Ley 25/2007 de conservación de datos. Por ello, el tiempo es una cuestión clave en estas reclamaciones.

¿Y si la IP está fuera de nuestras fronteras?

Si la IP del ciberatacante pertenece a otro país, todo se complica; y más aún si este no forma parte de la Unión Europea. Al igual que en el caso de Twitter, será necesario solicitar una comisión rogatoria y, si el juez acepta, este mecanismo pondrá a las autoridades de ambos países en comunicación para que se pueda proveer la información necesaria sobre la titularidad de la IP.

Todo este proceso puede suponer costes adicionales como contratar los servicios de una traducción jurada para establecer el contacto con las autoridades extranjeras. Asimismo, será preciso que quien represente a la parte afectada analice la legislación del país correspondiente para verificar si el hecho denunciado está tipificado como tal. De no ser así, el procedimiento legal llegará a su fin. 

La cuestión es que, en la práctica, lo más probable que el ciberatacante no use una única IP —y menos si es real—, sino que emplee diferentes técnicas de enmascaramiento que ocultan esa identidad real tras miles de IPs falsas. En el caso del ciberataque a La Marea y El Salto, ambos alojados en el proveedor de servicios Nodo50, el ataque provino de unas 27.000 IPs que, de forma casi simultánea, saturaron el tráfico de las webs de ambos medios, impidiendo que los lectores y lectoras accedieran a la información publicada.

“Si la IP está enmascarada con una VPN, esa IP no aparecerá, sino que pondrá que me han atacado desde Israel, Ucrania o cualquier otro país, multiplicando las vías de investigación que debemos seguir y ralentizando más el proceso. En este caso, la IP que aparezca en los logs del servidor atacado —además de que va a haber muchas— muy probablemente ni siquiera sea la IP del atacante”, argumenta el jurista Víctor Salgado.

Por eso, es importante revisar otros indicios más allá de la IP. “Si logra haber un rastro que se pueda llegar a identificar, abriremos otra vía de investigación”. Salgado insiste en que esta opción no es remota. “A lo mejor (el atacante) ha guardado la información en una carpeta compilada que lleva su nombre de usuario, por ejemplo. En ese caso, un perito forense puede descompilarlo. Son como huellas dactilares que quedan ahí y de las que, a veces, los ciberdelincuentes no son conscientes”.