Ataques de Denegación de Servicio

DoS es la abreviatura en inglés de Ataque de Denegación de Servicio y DDoS corresponde a Ataque Distribuido de Denegación de Servicios. Richard Power, en su libro “Tangled Web, Tales of the Digital Crime from the Shadows of Cyberspace”, nos ayuda a comprender las diferencias y objetivos de estos ataques:

  • El objetivo de un ataque de denegación de servicio (DoS) es hacer inoperable a un sistema. Algunos ataques de denegación de servicio están diseñados para bloquear el sistema de destino, mientras que otros sólo tienen por objeto hacer que el sistema de destino tan ocupado que no pueda manejar su carga normal de trabajo.
  • En un ataque distribuido de denegación de servicio (DDoS), un atacante puede controlar decenas o incluso cientos de servidores y apuntar toda esa potencia de ataque acumulada de todos estos sistemas a un único objetivo (servidor o computadora). En lugar de lanzar un ataque desde un único sistema (como sucede con el DoS), el atacante irrumpe en numerosos sitios, instala el script del ataque de denegación de servicio a cada uno, y luego organiza un ataque coordinado para ampliar la intensidad de estas agresiones cibernéticas. A este método suele conocérsele como “El Ataque de los Zombis”. Este modus operandi dificulta a los investigadores forenses el rastreo de la fuente real del ataque.

A la definición de Power de DDoS, debo agregar que otra opción es que el atacante solicite la colaboración de decenas, cientos o tal vez miles de personas para que cada una de ellas desde sus respectivas trincheras (computadoras) inicie el ataque simultáneamente contra un solo objetivo. Esta acción es parte del concepto de “hacktivismo”.

 

¿Es un solo tipo de ataque? No, en realidad un ataque de denegación de servicios (distribuido o no) puede llevarse a cabo de muy diversas maneras. En cierto tipo de ataques, un saboteador puede tirar un servidor remotamente, sin necesidad de tener acceso al objetivo. Como lo comentamos con anterioridad, esto normalmente involucra el “inundar” el servidor con largos paquetes o un gran número de paquetes que el servidor no está preparado para manejar.

Algunos ejemplos de métodos tradicionales o “históricos” para lograr una denegación de servicio son: (1) el ping de la muerte, (2) smurfing o ping flooding, (3) SYN flooding, (4) teardrop, etc. Otra posibilidad es crear scripts o pequeños programas y ponerlos a disposición de la “comunidad hacktivista” (subirlos a sitios web para su descarga y/o ejecución masiva) para realizar ataques distribuidos de denegación de servicios (DDoS).

Tal vez el más famosos de estos programas es el denominado “Flood Net”, creado en 1999 por un grupo de hacktivistas llamado “The Electronic Disturbance Theater” para apoyar la causa del Ejército Zapatista de Liberación Nacional, en Chiapas, México. Cuando abordemos el entorno sociopolítico, comprobaremos que México ha tenido episodios de fama mundial en lo que a hacktivismo y ataques de denegación de servicio se refiere.

 

¿Un Ataque de DDoS es delito?

Antes de contestar conforme a Derecho Mexicano, es mi deber afirmar que en casi cualquier país con un grado avanzado de desarrollo tecnológico (que regularmente va de la mano con un buen desarrollo legislativo) un ataque DoS o DDoS está contemplado como delito. Veamos algunos breves ejemplos:

 

  • Convenio sobre la Ciberdelincuencia (Convenio de Budapest): Este convenio nacido el 23 de noviembre del año 2001 en el seno del Consejo de Europa, en donde hubo varios países ajenos a la Unión Europea que fueron miembros y observadores de este instrumento internacional. Los países que han firmado y ratificado el Convenio de Budapest son: Albania, Alemania, Armenia, Azerbaijan, Bosnia y Herzegovina, Bulgaria, Croacia, Chipre, Dinamarca, Eslovaquia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Islandia, Italia, Lativia, Lituania, Moldova, Montenegro, Noruega, Países Bajos (Holanda), Portugal, Romania, Serbia, Suiza, Macedonia, Ucrania, Reino Unido y Estados Unidos. Los países que solo lo han firmado pero está pendiente su ratificación son: Austria, Bélgica, Canadá, República Checa, Georgia, Irlanda, Japón, Liechtenstein, Luxemburgo, Malta, Polonia, Sudáfrica, Suecia y Turquía. Los miembros parte del Convenio pero que aún no lo firman ni ratifican son: Argentina, Australia, Chile, Costa Rica, Filipinas, México y República Dominicana. Es ley en los 32 países que ya firmaron y ratificaron este Convenio, lo siguiente:
    • Artículo 5 (1) – Ataques a la integridad del sistema. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos.

 

  • España: Como ejemplo de lo que los países que adoptaron (firmando y ratificando) el Convenio de Budapest en su legislación local tenemos a España. A partir del 23 de Diciembre de 2010 entrará en vigor la reforma del Código Penal está operada por la Ley Orgánica 5/2010, de 22 de junio, y establece el siguiente contenido para el artículo 264, apartados 1 y 2:
    • El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
    • El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.

 

  • Estados Unidos: El país que probablemente tiene la legislación más avanzada y extensa en materia de delitos informáticos es Estados Unidos. El Código de los Estados Unidos contempla en diversas secciones y artículos que pudieren tipificar el DoS / DDoS como delito:
    • 18 U.S.C. § 1362. Líneas de comunicación, estaciones o sistemas. A quien voluntaria o maliciosamente interfiera de cualquier manera con la operación o uso de líneas o sistemas de radio, telégrafo, teléfono o cable, o voluntaria o maliciosamente obstruya, impida o retrase la transmisión de cualquier comunicación sobre dichas líneas o sistemas, o intente o conspire para hacerlo, deberá ser multado y/o sentenciado a no más de 10 años de prisión.
    • 18 U.S.C. § 1030 (a) (5) (A) (i). A quien conscientemente provoque la transmisión de un programa, información, código o comandos, y como resultado de dicha conducta, intencionalmente cause daño sin autorización, a una computadora protegida, será sancionado con:
      • Multa y/o prisión por no más de 10 años.
      • Multa y/o prisión por no más de 20 años en caso de reincidencia.
      • Multa y/o prisión por no más de 20 años en caso de que derivado de la conducta descrita el delincuente conscientemente o negligentemente cause o intente causar lesiones corporales serias.
      • Multa y/o prisión hasta por cadena perpetua en caso de que derivado de la conducta descrita el delincuente conscientemente o negligentemente cause o intente causar la muerte.
    • Computadora protegida” es definida por el artículo 18 U.S.C. § 1030 (e)(2)(b) como “una computadora que es usada en, o afecte el, comercio interestatal o internacional, incluyendo una computadora localizada fuera de los Estados Unidos que es usada en una manera que afecta una comunicación o el comercio interestatal o internacional.” Como vemos, “computadora protegida” nada tiene que ver con seguridad informática o con mecanismos informáticos de protección para redes o computadoras.
    • Daño” es definido por el artículo 18 U.S.C. § 1030 (e) (8) como “cualquier deterioro, insuficiencia o menoscabo a la integridad o disponibilidad de datos, programas, sistemas o información”.

 

  • Colombia: Fue tipificado como delito el DoS / DDoS en Colombia mediante una adición del artículo 1de la Ley 1273 de 2009, publicada en el Diario Oficial No. 47.223 de 5 de enero de 2009:
    • Artículo 269 B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

 

  • México: A pesar de que existen los “delitos informáticos” en el Código Penal Federal mexicano desde el 17 de mayo de 1999, tristemente en su articulado no se contempla el ataque de denegación de servicios como delito. Urge que México firme y ratifique el Convenio de Budapest para estar a la altura de las circunstancias tecnológicas y el crimen cibernético que el mundo vive en la actualidad.

Para conocer más sobre este tipo de ataques te comparto el siguiente artículo: