Concluye la "Operación Telefónica" de Anonymous

La 'Operación Telefónica' o #OpTelefonica convocada por Anonymous ha concluido y queríamos hablaros un poco, desde nuestra perspectiva, acerca del transcurso de la misma y de nuestras impresiones y conclusiones.

Primero, los objetivos iniciales del domingo 26 de junio eran los portales web de www.movistar.es a las 16:30 PM (CEST) y www.telefonica.com a las 18:00 PM (CEST). En las instrucciones del ataque se nombraba también una intervención final contra una BBDD, si bien no se especificaron más detalles públicamente y tampoco se ha llegado a dumpear o filtrar ninguna base de datos de Movistar.

Llamó la atención (y nos echamos algunas risas) algunos usuarios que escucharon "acerca de un ciberataque a Telefónica" e inmediatamente lo asociaron a que iban a perder la conexión a Internet a través de su ADSL e incluso su cobertura o servicio de telefonía móvil. Nada más lejos de la realidad, Anonymous incluso desechó la idea de atacar a los DNS públicos del ISP para afectar a la menor cantidad de usuarios posible.

En Twitter y en los canales IRC preestablecidos se debatía acerca de cómo preparar y armarse para el ataque, de las posibilidades de éxito o fracaso y de cómo proteger la identidad de los miembros de su legión. Puntuales y tras una emocionante cuenta atrás arrancaba el primer DDoS contra el primer portal. Cientos de cañones LOIC disparaban e intentaban atravesar las reforzadas defensas del gigante de las telecomunicaciones. El caché de Akamai, analizadores de tráfico, gestores de ancho de banda, firewalls, balanceadores web... una adecuada arquitectura de varios niveles repelía las primeras oleadas de tráfico hacia los frontales web. Los servidores de aplicaciones y más aún las bases de datos quedaban lejos y fuera del alcance y de los objetivos de los primeros ataques.

Algunos noveles creían que el portal web había caído casi inmediatamente al comprobar su disponibilidad desde el mismo equipo que estaba disparando con LOIC. Otros miembros les referenciaban portales externos para su comprobación. El caché de los navegadores también sembraba incertidumbre en medio de la batalla. Pronto muchos se dieron cuenta de que iban a necesitar un mayor número de anónimos, quizás las hordas de zombies de varias botnets de tamaño considerable. Algunos incluso se acordaron de antisec y Lulzsec, irónicamente el mismo día que anunciaban su retirada.

Sin embargo la insistencia del ataque daba como resultado un ralentización notable. Los técnicos del lado de Telefónica reforzaban sus defensas, monitorizaban los sistemas, balanceaban tráfico y baneaban IPs. A partir de las 17:00 horas aprox. se consiguieron varios cortes puntuales y ese fue el mayor éxito de la operación. El segundo DDoS contra www.telefonica.com no fue más fructífero.

Pasadas unas horas los principales periódicos del país se hacían eco de la noticia con distintas interpretaciones: desde titulares como 'Anonymous tumba Movistar' o 'Anonymous “hackea” la página de Movistar' hasta otros más comedidos como 'El ataque de Anonymous contra Telefónica se salda con pequeños incidentes' o 'El ataque de Anonymous contra Telefónica provoca pequeñas incidencias'...

¿Nuestra principal conclusión? Pues que "Operación Telefónica" no ha tenido ni vencedores ni perdedores.

Por una parte Telefónica no ha sufrido grandes problemas técnicos, tan sólo algunos minutos de pérdida de disponibilidad, justificando así la inversión en el refuerzo de su seguridad y evidenciando una aparente buen diseño de sus infraestructuras.
Por otra parte Anonymous ha conseguido tener una repercusión en los medios y elevar su protesta por los despidos masivos y la censura del macro operador.

En cuanto a los factores que han hecho posible ese resultado, posiblemente la naturaleza en sí del ataque.

Convocar un DDoS al público es preavisar al objetivo y facilitar su preparación. Evidentemente esto es inevitable si quieres realizar un ataque masivo distribuido (al menos claro está de que dispongas de una o varias botnets grandes o muy grandes). Telefónica sabía por tanto la fecha y conocía el patrón y la forma de ataque que se iba a utilizar, así como la herramienta usada (LOIC).

También el uso de programas para ocultar la identidad o mantener la privacidad (VPNs gratuitas o de pago, TOR, I2P, ...) merman la velocidad y estabilidad de la conexión del atacante y facilitan el banneo de IPs.

Sea como fuere, sin duda los daños hubiesen sido mayores si hubieran sufrido otro tipo de ataque sin preaviso y más comprometido, más "quirúrgico", como el robo y filtración de información sensible que tanto estamos viendo últimamente con los famosos 'total exposure'.
No ha sido así, aunque veremos en los próximos días más comentarios e impresiones acerca de esta operación de Anonymous y si Telefónica puede o quiere tomar alguna represalia en base a los logs obtenidos.

Es la ciberguerra.

Comentarios