"Están hackeando toda la red telefónica de Andorra. Ya está confirmado, están atacando internet porque estamos haciendo este evento. Ha sido abrir el directo y ¡boum!" Saltaban las alarmas en plena retrasmisión en Twitch del famoso streamer Rubius y así lo confirmó Andorra Telecom el pasado lunes 24 de enero. La red social morada fue el escenario de un gran torneo basado en la ficción del Juego del Calamar, a través del Minecraft, que congregó a los streamers más famosos de habla hispana. El que lograra sobrevivir se llevaría 100.000 dólares. Los participantes se conectaron desde muchas partes del mundo: Latinoamérica, Estados Unidos, España y, por supuesto, Andorra.

Los concursantes se jugaron "la vida" en las diferentes pruebas del Juego del Calamar. Si el personaje abandona la partida, se elimina automáticamente del juego. Los participantes residentes en Andorra no pudieron terminar el torneo. Cayeron todos de golpe, como la red de su lugar de residencia. En plena competición, los servicios de red de Andorra sufrieron un ataque masivo. El país fue el blanco de un nuevo hackeo de denegación de servicio a la red (DDoS) de Internet, pero esta vez de unas dimensiones desconocidas hasta la fecha. "Hay veces que las llamadas y el 4G no van, pero lo que están haciendo ahora está afectando a internet. Después de mis directos hemos tenido momentos de apagón", decía el Rubius en Twitch. 

Los streamers buscan al culpable (o los culpables) y piensan que fue un ataque intencionado contra los creadores de contenido españoles que se fueron a realizar su trabajo a Andorra para ganar más dinero, al pagar menos impuestos en el país vecino. "Voy a ir tramitando mis papeles, vuelvo a España, chicos", decía Rubius (en broma) desde Andorra al día siguiente de sufrir el ataque masivo. Otros creadores de contenido, como elXokas, habla de un ataque a nivel europeo: 

Andorra Telecom, empresa pública que gestiona las redes del país, alertó del último ataque a través de su cuenta de Twitter cerca de las 9.50 del sábado 22 de enero, después que desde el viernes se repitieran los ataques a la red de Internet. Según afirma la tecnológica en un comunicado, los ataques "buscaban perjudicar la programación de algunos youtubers" residentes en el país. 

¿Qué es un ataque DDoS y quién lo hace?

José María Saldaña, investigador de la Fundación CIRCE y doctor colaborador en el departamento de Ingeniería Electrónica y Comunicaciones de la Universidad de Zaragoza, explica que los ataques recibidos son de denegación de servicio, también conocidos como DDoS, y "consisten en saturar servidores. Todas páginas web van a través de un servidor. Si se conectan muchas personas, todas a la vez, saturan al ordenador porque no puede atender a todas las peticiones o preguntas a la vez. No es que un hacker rompa los ordenadores de Andorra Telecom, simplemente los saturan. Los atacantes pueden tener ordenadores de todo el mundo secuestrados y lanzarlos todos contra uno o varios servidores para crear el colapso, ralentizar la conexión o incluso crear un apagón".

El ataque, según explica Andorra Telecom, consistió en "enviar un gran volumen de tráfico basura, desde múltiples ordenadores distribuidos en varias zonas geográficas en este caso contra Andorra". El objetivo era "impedir que se pudiera hacer uso del servicio de Internet mientras dura el ataque". Saldaña hace un alegoría para los que no entienden bien el proceso: "Es como si vas a un bar y empieza a entrar gente, mucha gente, cada vez más gente. El camarero se satura y es incapaz de dar servicio a todas las peticiones".

El doctor asegura, sobre este tipo de ataques, que "son muy típicos. Es un ataque fácil de hacer, los atacantes no tienen que averiguar ninguna clave. Conocen la dirección de la víctima y lo machacan sin necesidad de hackear nada".

Los ataques tuvieron afectaciones en el servicio de Internet y de 4G de algunos clientes. Según Andorra Telecom, se dirigían a personas concretas pero también afectaron a otros clientes, "que vieron que su servicio de Internet no funcionaba correctamente". 

El perfil del atacante "nadie lo sabe, es muy difícil de localizar", afirma el investigador zaragozano. "Si yo ahora abro Google Maps me sale el mapa de Zaragoza, pero hay sistemas construidos para tapar tu origen. Hay herramientas que permiten esconderte y, antes de acceder al servidor final, dan mil vueltas por el mundo. Si yo puedo esconderme, imagínate la gente que vive de los hackeos, son personas que tienen un sueldo por hacer eso", concluye Saldaña.

Cómo parar estos ataques y la dimensión del último

Miguel Hernández, ingeniero experto en ciberseguridad en Sysdig, explica cómo parar un ataque DDoS: "Para mitigar las consecuencias de recibir un ataque de estas características hay varias opciones, el problema es que una de ellas no sirve en Andorra. Si el país tiene múltiples proveedores de servicios, cuando uno cae, puede tener red a través de los otros; pero allí solo opera Andorra Telecom. Otra opción sería la de escalar los recursos para dar servicio. Si Andorra Telecom dispone de un 'datacenter' muy antiguo, cuando recibe esa gran cantidad de peticiones en el ataque, no puede responder de la misma manera. Andorra tiene un censo de 78.000 habitantes y no le sale a cuenta hacer ciertas inversiones para un caso puntual de sobrecarga de tráfico".        

"La opción más viable sería tener la capacidad de identificar rápidamente ese tráfico, esas peticiones que le están llegando, y que le están causando la denegación del servicio y filtrarlas de manera que no lleguen a procesarse. De esta manera, los usuarios legítimos podrían seguir usando el servicio", afirma Hernández. "No es tarea fácil pero sería una manera realista y eficiente para evitar que esto vuelva a ocurrir porque el problema no es que haya pasado una vez, es que se pueda volver a repetir", avisa el experto en seguridad.

Hacer este tipo de acciones llevan un coste económico para el atacante, pero puede que la finalidad sea el reconocimiento público. Miguel Hernández asevera: "Con la prensa que se le está dando a este ataque, puede que dentro de unos días aparezca la red de equipo que diga: 'Nosotros fuimos los que dejamos sin internet a los streamers de Andorra'".  

"Los ataques que se mandan están habitualmente ligados al Internet de las cosas, como pueden ser cámaras de vigilancia, luces...", explica Hernández, "este tipo de dispositivos te permiten realizar peticiones, al igual que otros equipos, y son fácilmente manejables a la hora de orquestar todo el procedimiento de la denegación". "Si el atacante no dispone de este 'arsenal' o de los conocimientos necesarios para realizar la ofensiva, hay terceros que lo permiten hacer por una cantidad de dinero, según el número de peticiones que deseas hacer para saturar una red y la duración de las mismas. La denegación de servicio se da durante un tiempo limitado y suele usarse también para extorsionar: 'O pagas, o no dejo de hacer esta denegación para que tu página web siga sin servicio', concluye el experto en ciberseguridad Miguel Hernández.

Según la Andorra Telecom, las mejoras y las inversiones realizadas los últimos años para proteger el servicio en el país "han permitido que el servicio de Internet haya seguido funcionando para una gran parte de la población durante el ataque". "Si esto hubiera pasado hace unos años, el país entero se habría visto afectado y quedado sin internet", sostiene el portavoz de Andorra Telecom, Carles Casadevall, quien añade que en este caso la afección ha sido puntual y aleatoria para los usuarios. La empresa afirma que continuará invirtiendo en la seguridad del servicio de internet para que este tipo de ataques tenga una afectación cada vez menor en los usuarios, visto que "año tras año van aumentado a todo el mundo".

"Esta vez el ataque ha sido el más virulento recibido hasta la fecha en la red andorrana, según uno de nuestros proveedores, nunca había visto un ataque así", concluye Casadevall después de lo sucedido.