Estos últimos días se han realizado multitud de ataques sobre las páginas web del Senado y de diversos partidos políticos, en represalia por la tramitación de la Ley de Economía Sostenible, y en particular por la altamente criticada Disposición Final a la que ya dedicamos un análisis completo.
Con la reciente modificación del Código Penal, se plantean una serie de dudas respecto a la legalidad de participar en este tipo de actuaciones, prestando los recursos de nuestros equipos y nuestras conexiones para llegar a bloquear una determinada página web. Para poder dar respuesta , debemos ahondar en lo que supone realmente uno de estos ataques, y lo que dice nuestro ordenamiento jurídico al respecto.
Los ataques DDoS desde el punto de vista técnico
Los ataques DoS (Denial of Service) buscan conseguir que un sistema informático se vea incapaz de responder a las peticiones de sus usuarios, denegándoles el acceso a dicho servicio mediante la utilización de diversos métodos. Este mismo resultado es el buscado en los ataques DDoS (Distributed Denial of Service), aunque mediante un esquema distribuido de una pluralidad de equipos, lo cual facilita el llegar a dicha denegación de servicio a los usuarios legítimos.
La realidad es que existe la errónea concepción de que los ataques DDoS se basan únicamente en la saturación del ancho de banda existente en una red determinada. Si bien es cierto que puede utilizarse este sistema para realizar de forma efectiva un ataque DDoS, la protección contra esta clase de ataques resulta más sencilla (al menos desde el punto de vista estrictamente técnico) que contra aquellos ataques dirigidos a saturar servicios existentes en el sistema informático en sí.
Esta circunstancia la podemos analizar a la hora de ver los tipos de ataques que pueden dirigirse contra la infraestructura basada en TCP/IP de un determinado sistema informático y que pueden resumirse en tres posibilidades:
- Los que tienen como objetivo vulnerabilidades existentes en el protocolo TCP/IP
- Los que se aprovechan de una vulnerabilidad en la implementación de la pila TCP/IP
- Los ataques de fuerza bruta
Dependiendo del método escogido, el ataque DoS/DDoS requerirá más o menos recursos y será más fácil o difícil que el destinatario se proteja de los mismos (no es lo mismo saturar el ancho de banda, que impedir el normal funcionamiento de las pilas de protocolos del servidor por ejemplo).
A título de ejemplo podemos analizar el caso de los SYN Floods, respecto a los cuales podéis acceder al RFC 4987 TCP SYN Flooding Attacks and Common Mitigations si deseáis ahondar más en el tema. Para empezar, debemos tener en cuenta que a la hora de establecer una conexión TCP se pasa por tres estadios, tal y como se refleja en el siguiente esquema
En primer lugar, el cliente envía una petición SYN al servidor, que es respondida por un SYN-ACK. El último paso consiste en que el cliente que desea conectarse al servidor responda con un ACK. En este momento, tanto el cliente como el servidor tienen constancia de la conexión y pueden realizar las actuaciones objeto de la conexión.
La vulnerabilidad en esta comunicación la podemos encontrar en los supuestos en que el servidor ha contestado con la señal SYN-ACK al cliente, pero todavía no ha recibido la respuesta ACK, con lo cual la comunicación no ha sido establecida completamente. Si nos encontramos con que a pesar de esta última circunstanciael servidor reserva recursos una vez recibida la señal SYN y antes de recibir la respuesta ACK, éste será vulnerable a este tipo de ataques.
El servidor cuenta en su memoria con una estructura de datos que utiliza para establecer conexiones, con una capacidad que será limitada (puede ser mayor o menor, pero la capacidad de un equipo o sistema informático es finita). Teniendo en cuenta este hecho, podemos intentar saturar esta estructura de datos a base de incluir un mayor número de conexiones parcialmente establecidas de las que puede soportar el servidor (recordemos que, como hemos mencionado anteriormente, los recursos se reservan incluso antes de que establezca de forma completa y efectiva la conexión).
Si el cliente envía un paquete que incluya como dirección de retorno una IP falsa, el cliente nunca podrá responder a las señales SYN-ACK, con lo cual el servidor nunca obtendrá la respuesta, pero sí que tendrá almacenada la información y recursos de este intento de conexión (al menos hasta que transcurra el tiempo máximo que se haya fijado). Una vez se consiga ocupar toda la capacidad de la estructura de almacenaje, el sistema no podrá aceptar nuevas conexiones de entrada, con lo cual las peticiones realizadas por clientes legítimos no podrán reservar el espacio necesario para esta conexión lo que implicará la imposibilidad de acceder al servicio. Por lo que respecta a la liberación de recursos transcurrido el plazo para ello, debemos recordar que los atacantes pueden continuar enviando paquetes IP pidiendo nuevas conexiones (y si tenemos en cuenta además de que podemos encontrarnos ante un ataque distribuido, es posible que la capacidad de envío de paquetes sobrepase a la capacidad del servidor de hacer expirar las conexiones pendientes existentes en sus registros). Con este método podemos llegar a hacer inaccesible un equipo sin tener que agotar su ancho de banda (un método que requeriría mayores recursos para su efectividad).
La protección contra esta clase de ataques plantea una serie de problemas. En primer lugar, los paquetes syn enviados por los equipos atacantes forman parte del tráfico normal del servidor, sin perjuicio de la posibilidad de fijar determinadas reglas que puedan ayudar a mitigar la efectividad de estas peticiones. Además, el tiempo requerido para que la conexión sea cerrada por transcurso del plazo máximo es relativamente alto, a lo cual hay que sumar que la dirección de retorno de la petición puede ser falsificada, dificultando el filtrado basado en equipos determinados.
Si pasamos a los casos que están teniendo trascendencia mediática estos días, la herramienta más utilizada para los recientes ataques contra diversas páginas web de partidos políticos e instituciones públicas (el Low Orbit Ion Cannon o LOIC) es un ejemplo de ataque de fuerza bruta. Esta aplicación, disponible para multitud de plataformas incluyendo una versión web en Javascript envía múltiples peticiones HTTP por segundo a las páginas a las que se ataca. Este programa incluye además la posibilidad de ceder el control de la aplicación (no del ordenador) a bots de IRC. La variante LOIC-2 añade nuevas posibilidades de control a través de otros canales como son Twitter, RSS o Facebook. TAmbién cabe mencionar el High Orbit Ion Cannon (HOIC) y el Geosynchronous Orbit Ion Cannon (GOIC) que introducen nuevas características como aplicaciones de flood multihilo o ataques simultáneos contra varias webs.
Debemos hacer constar expresamente que con estas aplicaciones cedemos el control (si así lo fijamos) respecto de la aplicación y los recursos que ésta necesite (CPU, ancho de banda, etc…) y no de la totalidad del ordenador.
Los ataques DDoS desde el punto de vista legal
Con la entrada en vigor el pasado 23 de diciembre de la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, la redacción del Art. 264 podría englobar los casos que hemos analizado hasta el momento
1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.
A la vista de esta redacción, la naturaleza de la actuación de los ataques DDoS se adapta a primera vista al supuesto del Art. 264.2 del Código Penal, al suponer el resultado la interrupción del funcionamiento de un sistema informático ajeno (que supone asimismo dejar inaccesibles los datos informáticos que este sistema contenga). Ahora bien, nos encontramos con un primer límite al tipo que obedece al principio de última ratio del derecho penal. Si recordamos la sentencia de la Audiencia Provincial de Córdoba de ocho de enero del año 2004
El principio de intervención mínima, que forma parte del principio de proporcionalidad o de prohibición del exceso, cuya exigencia descansa en el doble carácter que ofrece el derecho penal:
a) El ser un derecho fragmentario, en cuanto no se protegen todos los bienes jurídicos, sino tan solo aquellos que son más importantes para la convicción social, limitándose además, esta tutela a aquellas conductas que atacan de manera más intensa a aquellos bienes.
b) El ser un derecho subsidiario que, como ultima ratio, ha de operar únicamente cuando el orden jurídico no pueda ser preservado y restaurado eficazmente mediante otras soluciones menos drásticas que la sanción penal.
(…) el carácter doblemente fragmentario del derecho penal, a que hemos hecho referencia, como principio inspirador del concepto material del delito, no sólo exige la protección de los bienes jurídicos más importantes, sino también que dicha protección se dispense sólo frente a los ataques más importantes y reprochables y exclusivamente en la medida que ello sea necesario”.
Este principio de intervención mínima va dirigido al legislador y así debemos recordar al respecto las Sentencias del Tribunal Supremo de 13 de junio del año 2000 y de 13 de febrero del año 2003, destacando
(…) no es al juez sino al legislador a quien incumbe decidir, mediante la fijación de los tipos y la penas, cuáles deben ser los límites de la intervención del derecho penal
En este caso el legislador parece que ha respetado este principio al limitar la tipificación de la actuación a los supuestos con resultado grave, dejando posteriormente dicha interpretación en manos de los jueces y tribunales. Así, a los efectos de analizar la gravedad de una determinada actuación podrían tenerse en cuenta factores como los derechos afectados al resultar imposible acceder a un determinado sistema informático, la duración de dicha inaccesibilidad, etc.. lo cual plantea una serie de dudas hasta que se cuente con una mayor jurisprudencia al respecto de dichos supuestos.
Por otro lado, nos encontramos con la problemática de identificación de los sujetos que han realizado el ataque. Desde el punto de vista técnico, el sistema objetivo del ataque puede que no cuente con los datos de todos los atacantes, al haberse encontrado en una situación en la cual no contaba con los recursos para dejar constancia de todas las peticiones que recibía. A través de los logs de conexión es posible que se pudieran encontrar varias de las direcciones IP de los atacantes (mezcladas con peticiones ordinarias, pero que podrían ser filtradas en base a la reiteración de las conexiones por ejemplo), pero resulta más que probable que no puedan conocerse las direcciones IP de todos los implicados sin una mayor intervención de otros prestadores de servicios intermediarios.
Pero la obtención de la dirección IP no es más que el primer paso para lograr la identificación de un determinado sujeto, y es en esta fase donde encontramos un importante impedimento para que pueda llegar a asociarse una dirección IP a una persona física. Todo esto viene causado por el ámbito de aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones y, en particular, de su Artículo 1
Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
Con esta redacción la Ley limita los supuestos en que se pueden ceder los datos que los prestadores están obligados a conservar a efectos de identificar al abonado (tal y como nos dice su artículo 1.2), que podrá hacerse únicamente en casos de detección investigación y enjuiciamiento de delitos graves, con lo cual no resulta suficiente con que la acción esté simplemente tipificada en el Código Penal. El Art. 13 del Código Penal, en relación con el Art. 33.2, nos permite saber que tendrán la consideración de delitos graves aquellos que estén castigados con pena grave, y que en el caso de prisión requerirá que la pena sea por un plazo superior a 5 años.
A la vista de lo que se ha dicho anteriormente, y dado que la pena de prisión que contempla el Art. 264.2 del Código penal es de 6 meses a 3 años, llegamos a la conclusión que el delito contemplado por este artículo no tiene la consideración de grave y, por tanto, el prestador no podrá ceder los datos para la investigación de este tipo de delitos.
Con esta interpretación, dejamos fuera de la posible identificación de los sujetos infractores los casos en los que se requiera una identificación posterior del abonado a partir de una dirección IP, como son los ataques remotos a equipos y sistemas informáticos, un supuesto muy usual y que del que no quedamos correctamente protegidos con la actual redacción de la norma.
Por otro lado, los usuarios han interpretado que la cesión del control de los equipos a terceros les veta de por sí y de forma automática de cualquier tipo de responsabilidad. A este respecto, cabe destacar que aunque los sujetos ponen voluntariamente a disposición del enjambre sus equipos, la dificultad en un eventual proceso de probar que ha sido efectivamente voluntaria sería prácticamente insuperable. Los casos de botnets instaladas sin conocimiento de los usuarios están a la orden del día, aunque bien es cierto que la detección por peritos de herramientas como el LOIC en los equipos podrían ayudar a que el juez interpretase que sí que hay efectivamente una responsabilidad por sus actos (todo ello sin perjuicio de las dificultades que hemos mencionado hasta el momento para llegar a saber quién es el infractor). Aunque pudiera llegar a identificarse de forma efectiva a uno de los participantes, con nombre y apellidos, probar la tipicidad de su actuación resultaría asimismo una labor muy complicada para el demandante, que se encontraría de nuevo con grandes dificultades para que se castigase dicha actuación.
No obstante todo lo anterior, debemos recordar que la Ley se encuentra aún en estudio y tramitación y que el bloqueo de páginas web de instituciones públicas no perjudican únicamente a aquellos que están a favor de la Ley, sino también a aquellos que están en contra o a aquellos sujetos que quieren acceder a una determinada información existente en los servidores de una de las cámaras pertenecientes a las Cortes Generales. Existen otras iniciativas que buscan dar a conocer la opinión de los ciudadanos respecto a dicha Ley (como puede ser el envío de correos electrónicos a los Senadores) que resultan más adecuadas.
Muy interesante el articulo.
Pero con respecto a lo último, tambien se pueden hacer DoS a servidores de correo mediante el envío masivo de emails. En este caso, sería aún más dicifil verificar la intencionalidad del mail.
Entiendo, que entonces para poder acceder a los datos de IPs; tras sufir un ataque, la empresa u organización, debería denunciar el caso y esperar que un juez de la orden de identificar las IPs sospechosas ¿no?
Hola ehoo,
efectivamente, cualquier servicio puede ser finalmente bloqueado incluso a base de saturarlo por peticiones "legítimas", ya no solo por envíos masivos. En el caso del escrito me refería a los envíos a los senadores de forma no masiva e intrusiva, dado que lo contrario lo único que facilita es que ellos cojan todos los mensajes, los borren y no hagan absolutamente ningún caso.
Tal y como dices, deben esperar aun juez para identificar, pero el juez no puede solicitarlo salvo que nos encontremos ante un delito grave. Al no encontrarnos en este supuesto, no solicitará identificación de las direcciones IP