Elon Musk dijo que un «ciberataque masivo» interrumpió X el lunes y señaló a «direcciones IP originadas en el área de Ucrania» como la fuente del ataque. Los expertos en seguridad dicen que no es así como funciona.

La red social X sufrió interrupciones intermitentes el lunes, una situación que el propietario, Elon Musk, atribuyó a un «ciberataque masivo». Musk dijo en una publicación inicial de X que el ataque fue perpetrado por «un grupo grande y coordinado y/o un país». En una publicación en Telegram, un grupo propalestino conocido como Dark Storm Team se atribuyó los ataques DDoS a las pocas horas. Sin embargo, más tarde el lunes, Musk afirmó en una entrevista en Fox Business Network que los ataques habían provenido de direcciones IP ucranianas.

Los expertos en análisis de tráfico web que rastrearon el incidente el lunes se apresuraron a enfatizar que el tipo de ataques a los que X parecía enfrentarse, los ataques de denegación de servicio distribuido, o DDoS, son lanzados por un ejército coordinado de computadoras, o una «botnet», que golpea a un objetivo con tráfico basura en un intento de abrumar y derribar sus sistemas. Las botnets suelen estar dispersas por todo el mundo, generando tráfico con direcciones IP geográficamente diversas, y pueden incluir mecanismos que dificultan la determinación de dónde se controlan.

«Es importante reconocer que la atribución de IP por sí sola no es concluyente. Los atacantes utilizan con frecuencia dispositivos comprometidos, VPN o redes proxy para ofuscar su verdadero origen», dice Shawn Edwards, director de seguridad de la firma de conectividad de red Zayo.

X no respondió a las solicitudes de comentarios de WIRED sobre los ataques.

Varios investigadores observaron cinco ataques distintos de diferente duración contra la infraestructura de X, el primero comenzando el lunes por la mañana temprano con la ráfaga final el lunes por la tarde.

El equipo de inteligencia de Internet de ThousandEyes de Cisco comento en un comunicado: «Durante las interrupciones, ThousandEyes observó condiciones de red que son características de un ataque DDoS, incluidas condiciones significativas de pérdida de tráfico que habrían impedido que los usuarios llegaran a la aplicación».

Los ataques DDoS son comunes, y prácticamente todos los servicios modernos de Internet los experimentan regularmente y deben defenderse de manera proactiva. Como dijo el propio Musk el lunes: «Nos atacan todos los días». ¿Por qué, entonces, estos ataques DDoS causaron interrupciones para X? Musk dijo que se debía a que «esto se hizo con muchos recursos», pero el investigador de seguridad independiente Kevin Beaumont y otros analistas ven evidencia de que algunos servidores de origen X, que responden a solicitudes web, no estaban debidamente protegidos detrás de la protección DDoS de Cloudflare de la compañía y eran visibles públicamente. Como resultado, los atacantes podrían atacarlos directamente. Desde entonces, X ha asegurado los servidores.

«La botnet estaba atacando directamente la IP y un montón más en esa subred X ayer. Es una botnet de cámaras y DVR», dice Beaumont.

Unas horas después de que concluyera el ataque final, Musk le dijo al presentador de Fox Business, Larry Kudlow, en una entrevista: «No estamos seguros exactamente de lo que sucedió, pero hubo un ciberataque masivo para tratar de derribar el sistema X con direcciones IP originadas en el área de Ucrania».

Musk se ha burlado de Ucrania y de su presidente, Volodymyr Zelensky, en repetidas ocasiones desde que Rusia invadió a su vecino en febrero de 2022. Musk, uno de los principales donantes de campaña del presidente Donald Trump, dirige ahora el llamado Departamento de Eficiencia Gubernamental, o DOGE, que ha arrasado con el gobierno federal de Estados Unidos y su fuerza laboral en las semanas transcurridas desde la toma de posesión de Trump. Mientras tanto, la administración Trump ha mejorado recientemente las relaciones con Rusia y ha alejado a Estados Unidos de su apoyo de larga data a Ucrania. Musk ya ha estado involucrado en esta geopolítica en el contexto de una empresa diferente de su propiedad, SpaceX, que opera el servicio de Internet satelital Starlink del que dependen muchos ucranianos.

El análisis de tráfico DDoS puede desglosar la manguera de tráfico basura de diferentes maneras, incluso enumerando los países que tuvieron la mayor cantidad de direcciones IP involucradas en un ataque. Pero un investigador de una firma prominente, que solicitó el anonimato porque no está autorizado a hablar sobre X, señaló que ni siquiera vieron a Ucrania en el desglose de los 20 principales orígenes de direcciones IP involucrados en los ataques X.

Sin embargo, si las direcciones IP ucranianas contribuyeron a los ataques, numerosos investigadores dicen que el hecho por sí solo no es digno de mención.

«Lo que podemos concluir de los datos de IP es la distribución geográfica de las fuentes de tráfico, lo que puede proporcionar información sobre la composición de las botnets o la infraestructura utilizada», dice Edwards de Zayo. «Lo que no podemos concluir con certeza es la identidad o la intención del perpetrador real».

Desde paginacreativa.com, estaremos atentos a los próximos pasos de X en la implementación de mejoras en sus sistemas de seguridad. Este incidente es un recordatorio claro de que, en el mundo digital, nunca se puede bajar la guardia.