Integrantes de la coalición Por México al Frente denunciaron este martes un presunto ataque ruso contra el sitio Debate2018.mx, la página creada por la alianza y presentada por su candidato, Ricardo Anaya, para difundir pruebas de presuntos actos de corrupción del aspirante presidencial Andrés Manuel López Obrador.
Candidatos y legisladores de los partidos que integran la coalición Por México al Frente e incluso el Partido Acción Nacional (PAN), en su cuenta oficial de Twitter, publicaron mensajes donde acusan que el sitio fue atacado desde México y Rusia.
Durante el debate presidencial la coalición dijo que el ataque inició tras recibir más de 70 mil visitas en menos de 10 segundos. Un día después aseguraron que se trató de un ataque DDoS (Ataque por Negación de Servicios Distribuido), con el que computadoras infectadas mandan peticiones para entrar al sitio miles de veces.
Especialistas en seguridad digital consultados por Animal Político dijeron que la evidencia presentada hasta el momento no prueba que haya habido “un ataque ruso”, pues aunque el sitio dejó de funcionar por minutos, pudo haber caído por un error de los administradores o un mal cálculo de capacidad de tráfico.
Este 13 de junio, el equipo de Anaya señaló, en un reporte sobre el ataque, que recibió poco más de 10.9 millones de visitas en un periodo de 24 horas, de las que 83.36% ocurrieron entre las 21:00 y 23:00 horas. El documento indica que 437 mil fueron “consultas auténticas totales”, con un máximo de 234 mil visitas reales por hora.
También dijeron que en el sitio, durante la noche del debate presidencial, se pudieron despachar 9.05 millones de peticiones de visitas regulares y que 1.8 millones fueron peticiones de visitas sin cache, mediante el ataque DDoS.
El experto en medios digitales, Andrés Bianciotto, explicó que para ‘tirar’ la página anunciada por Anaya se hubieran requerido más visitas de las que reporta el Frente, pues el sitio estuvo sin funcionar cerca de 10 minutos, y no hay evidencias de un daño al servidor de la página web.
Sobre eso, el equipo de Anaya explicó que el ataque no se reflejó en visitas porque nunca llegó al servidor; que no se trató de un hackeo, pero sí de un DDoS coordinado desde una botnet muy extensa. Y sostienen que los datos muestran que el sitio sufrió ataques.
SocialTIC, una organización civil especialista en seguridad digital, explicó que la información publicada por el equipo de Anaya muestra que, en efecto, quizá hubo algunos ataques e incluso visitas con una IP rusa, pero que “el tráfico mexicano en un momento coyuntural hizo que se cayera el sitio”, pues “no hay evidencia de un hackeo masivo ruso”.
Otro factor que destacan los especialistas, y que confirmó el equipo de Anaya, es que la compañía Cloudflare, dedicada a temas de seguridad en internet, activó un bloqueo automático a las visitas de Debate2018.mx, pues tras el anuncio de su publicación en cadena nacional tuvo una sobrecarga que impedía ver su contenido.
Este bloqueo funcionó como un botón de auxilio llamado “¡Bajo ataque!”, una herramienta de la misma plataforma que impide visitas maliciosas a la página. “Este botón frena el tráfico del sitio. No podemos saber si fue por una amenaza”, explicó Bianciotto en entrevista.
De acuerdo con una guía de protección para ataques DDoS, publicada por la misma compañía Cloudflare, se necesitaría una red de equipos infectados (o bots) de al menos 65 mil máquinas, cada una capaz de enviar un megabit por segundo (1Mbps) de datos, para generar un ataque de este tipo.
El reporte de la coalición indica que “el ancho de banda total solicitado alcanzó un pico de 2Tb en un lapso de poco más de dos horas”; y añade que “de los bloques de IPs que participaron en el DDoS los más considerables por volumen estuvieron 2 en México y 6 en Rusia”.
Para los especialistas, la acusación de que hubo un ataque desde Rusia es cuestionable, pues de acuerdo con su propio reporte, hubo apenas 10 mil solicitudes de acceso de este país. “Aún bajo la hipótesis de que todo el tráfico ruso fue parte de un ataque, éste no hubiera afectado al sitio más que el tráfico natural mexicano”, explicó el equipo de SocialTIC.
El equipo de Ricardo Anaya dijo que tras activar este botón de auxilio y “al contar con reglas de acceso por país, los ataques de Rusia, India, Brasil y China fueron bloqueados por la capa de seguridad, quedando los ataques provenientes de México”.
¿Por qué estuvo entonces inactivo el sitio?
Para Bianciotto, la principal razón fue la falta de prevención por parte de los administradores del sitio, por no contratar servicios web elásticos en caso de tráfico repentino, y más en un contexto electoral, donde se podían esperar visitas masivas.
SocialTIC también coincide en que “no supieron o quisieron gestionar todos los elementos de un sitio web para soportar altos niveles de tráfico”, como se podía esperar de un sitio que muestra pruebas de actos de corrupción en una campaña electoral.
La organización experta en seguridad digital dijo que no hubo una gestión adecuada del sitio, pues no se contrató un servicio adicional “para hacer labores de intermediario entre el usuario que se conecta a la página, analizar si es tráfico no deseado y permitir el paso al tráfico aprobado rumbo al servidor donde se almacena la página web”.
De acuerdo con SocialTIC, si el servidor de la página no es el adecuado para el nivel de tráfico, también presentará problemas para gestionar la llegada de las visitas “buenas”, tal como reportaron usuarios en Twitter al no poder acceder a la página anunciada por Anaya durante el debate.
https://twitter.com/AnaPOrdorica/status/1006729556877807616
https://twitter.com/dosdosMendoza/status/1006731569489473536
https://twitter.com/davidaustria/status/1006733989191847938
Los especialistas coincidieron en que con el reporte publicado por la coalición Por México al Frente, “es muy difícil rastrear el origen de algún servicio que realiza ataques de DDoS que hubiera querido saturar el sitio y colapsarlo”. Además, el hecho de que hay visitas de Rusia o China no quiere decir necesariamente que quienes hayan contratado ese servicio sean rusos o chinos pues puede tratarse de bots contratados desde cualquier parte del mundo.
