A principios de este mes, varios servicios de Microsoft experimentaron fallos. Las páginas de inicio de sesión y otras partes de Outlook, OneDrive, Teams y Azure dejaron de estar disponibles para millones de usuarios en todo el mundo. Dado que vivimos en un mundo cada vez más interconectado, este escenario se tradujo en un gran dolor de cabeza.
Imagínate a personas sin la posibilidad de acceder a su correo electrónico, equipos de trabajo desconectados de una de sus plataformas de comunicación, y administradores de sistema con acceso limitado a los recursos en la nube de su compañía. Todo esto ocurrió, en mayor o menor magnitud, entre el 5 y el 9 de junio de 2023. Ahora sabemos por qué.
El culpable ha sido un ataque de DDoS
Microsoft asegura que invierte 1.000 millones de dólares al año para proteger, detectar y responder a las amenazas cibernéticas en tiempo real, labor que se coordina desde el Microsoft Cyber Defense Operations Center (CDOC). Sin embargo, al igual que cualquier otra compañía tecnológica, no es inmune a ciertos ataques que pueden comprometer sus sistemas.
Ha sido la propia compañía de Redmond la que ha reconocido que los eventos de “principios de junio” se debieron a un ataque distribuido denegación de servicio, también conocido por sus siglas en inglés DDoS. “No hemos visto evidencia de que se haya accedido o comprometido los datos de los clientes”, han afirmado en un comunicado de prensa.
La investigación todavía está en curso, y los detalles sobre lo que sucedió siguen siendo escasos, pero pueden ayudarnos a dimensionar mejor a qué tipo de amenazas nos enfrentamos en la realidad digital en la que vivimos. Un portavoz de Microsoft ha confirmado a Associated Press que detrás del ataque está el grupo autodenominado Anonymous Sudan.
Puertas adentro, la compañía ha denominado a los atacantes como Storm-1359, una designación cuya afiliación todavía no se ha establecido. Algunos investigadores, no obstante, creen que Anonymous Sudan está vinculado al grupo pro-ruso KillNet. Este último, caracterizado por poner en marcha ataques contra aliados de Ucrania.
Se cree que los atacantes tenían a su disposición múltiples servidores privados virtuales e infraestructura en la nube alquilada. Con estos y otros recursos, lanzaron una enorme cantidad de solicitudes a los servidores de Microsoft para producir un ataque de inundación HTTP. Es decir, un ataque directo a la capa 7 del modelo OSI, la base de las peticiones de Internet.
El mencionado tipo de ataque busca agotar los recursos del servidor de manera tal que este colapse y no pueda responder a más peticiones de acceso. Y, cabe señalar, no es fácil de mitigar porque no es sencillo distinguir entre el tráfico auténtico y el que está siendo provocado por los atacantes para desestabilizar el servicio.
Storm-1359 también lanzó otros ataques contra la capa 7. Por un lado, una práctica conocida como “Cache bypass”, que intenta eludir la capa CDN y puede provocar la sobrecarga de los servidores de origen. Por otro lado, uno de tipo “Slowloris”, que abre conexiones con el servidor e intenta mantenerlas abiertas para consumir sus recursos.