Estos geeks se esconden en bunkers para bombardear el internet

Sven Olaf Kamphius, vocero de Cyberbunker, frente al bunker de servidores de la compañía. Imagen via.

Hace un par de semanas, un grupo de hackers lanzó el más grande ataque DDoS que el internet haya visto. Si lo tuyo no son las noticias sobre tecnología (¿y por qué habrían de serlo? No es como si toda tu vida dependiera de la tecnología), un ataque DDoS implica básicamente saturar el tráfico hacia una página web hasta que sus servidores tienen un ataque de pánico, lo que evita que alguien, temporal o indefinidamente, tenga acceso al sitio.

Obviamente esto no suena tan importante como personas que vuelan en pedazos y que son sistemáticamente reprimidas en todo el mundo, pero (según expertos en tecnología) este ataque fue el equivalente a "una bomba nuclear" sobre el internet. Por lo tanto, este es un tema que amerita la atención de cualquier persona con un interés en la red de redes (es decir, la mitad del planeta), en especial si consideramos que los ataques DDoS se pueden usar para afectar cuentas de email y las páginas de bancos, dos piezas fundamentales para los negocios que operan hoy en día.

El ataque en cuestión ocurrió luego de que una disputa entre una Cyberbunker (una compañía de hosting en internet) y Spamhaus (un servicio antispam) alcanzara niveles insostenibles. Spamhaus tachó a una serie de clientes de Cyberbunker de molestas amenazas spam, así que un "colectivo en línea" (que algunos creen estaba compuesto de miembros de Cyberbunker y Stophaus, un foro anti-Spamhaus) tomó represalias con un ataque que no sólo tiró la red de Spamhaus, sino que hizo que los expertos del internet se pusieran histéricos por miedo a que toda la red se atascara de spam y dejara de funcionar.

Aunque niega dar servicio a compañías que vomitan spam sobre tu bandeja de entrada, en su página, Cyberbunker dice dar servicio a todo “menos pornografía infantil y cualquier cosa relacionada con terrorismo” (que nobles). La compañía también ofrece el anonimato a sus clientes, lo que ha llamado la atención de sitios como The Pirate Bay (descanse en paz), en el pasado. Más allá de esto, no queda claro si Cyberbunker está consciente de la situación o si le importa un carajo quiénes son sus clientes y que clase de contenido almacenan.

Después de oficialmente mudar su centro de operaciones de un bunker nuclear decomisado no tan secreto en Kloetinge, Holanda, Cyberbunker dice tener una operación clandestina incrustada en diversos complejos militares. Y si una compañía de hosting clandestina que se esconde en bunkers nucleares y tiene vínculos al bajo mundo cibernético no suena a una novela de Tom Clancy, quiero que sepas que estos bunkers, supuestamente, albergan también un laboratorio de MDMA.

Servidores Cyberbunker. Imagen cortesía de Cyberbunker.com.

Cuando contacté a Sven Olaf Kamphius, la figura pública de Cyberbunker y autoproclamado luchador por la libertad de internet, me explicó la política de la compañía en cuanto a los datos del cliente:

“Nosotros, como proveedor, no podemos determinar si algo va contra la ley; eso depende de las cortes y los jueces”, me dijo. “Si un cliente viene y nos dice: ‘Tengo una página ilegal y hago fraudes con tarjetas de crédito’, le respondemos: ‘Mmm, ¿por qué no ajustes tu modelo de negocio un poco?’ No podemos ayudar a personas que dicen que están cometiendo crímenes. Eso es imposible. Esas personas nunca van a ganar ningún juicio”.

A pesar de su aparente descaro, Cyberbunker pide a sus clientes que muestren algo de discreción con sus operaciones, pero, a menos que la compañía reciba una orden de un juez para bajar contenido de sus servidores, eso es todo. En cuanto al laboratorio de MDMA, “Esa era una pandilla de la triada china que rentaba una habitación”, me explicó Kamphius, desmintiendo la teoría de que su compañía está involucrada en la producción de narcóticos además de nefastas actividades en línea. “Se hacían pasar por una “compañía de pinturas”, y tenían un registro oficial, pero se registraron con pasaportes falsos”, me dijo.

El "hosting blindado", como el que ofrece Cyberbunker, es un modelo de negocio estrechamente ligado al crimen cibernético. Por ejemplo, los delincuentes más exitosos de internet en el mundo, la Red de Negocios Rusa (RBN), mantienen un frente legítimo como proveedores de internet comunes y corriente, y al mismo tiempo se les vincula con alrededor del 60 por ciento del crimen virtual en el mundo, cultivando botnets (ejércitos robóticos) para ataques DDoS, realizando miles de robos de identidad y fraudes; básicamente, se enriquecen haciendo de la vida en internet una pesadilla para otras personas.

Rik Ferguson de la compañía de seguridad cibernética Trend Micro pasa sus días investigando crímenes virtuales. Cuando lo contacté me explicó que las compañías de hosting blindado atraen a tantos clientes involucrados en crímenes por internet porque suelen ignorar las quejas contra el contenido en sus servidores. Esto hace que sea muy difícil para las autoridades encontrar evidencia de que se ha cometido alguna violación.

“Su modelo de negocio, y su promesa a sus clientes, es que no responderán a las quejas enviadas a su dirección de abusos”, me dijo. “En caso de que las autoridades obtengan acceso a su hardware a través de una orden judicial, prometen no mantener ningún registro, así que no habrá nada extra que incrimine a sus clientes. Obviamente es un servicio diseñado para personas que operan fuera de la ley”.

La entrada al bunker de Cyberbunker. Imagen via.

Después de ser atacados por blogueros y medios de comunicación hace unos años, la Red de Negocios Rusa desapareció del radar, y algunos reportes sugieren que mudaron sus operaciones a China. Después de entrar a las sombras, grandes proveedores de internet como estos se fragmentan en grupos más pequeño, y comienzan a ofrecer todo tipo de servicios a cualquiera que intente salirse con la suya en internet.

“Ahora es un mercado mucho más fragmentado. Por ejemplo, vemos compañías de hosting blindado; vemos servicios de encriptación diseñados para verificar si el malware es indetectable por software estándar; vemos compañías que ofrecen kits de explotación, una especie de servidor web que te permite aprovecharte de la gente que caiga en tu sitio, y también hay grupos que producen el malware en si”.

Aunque existe toda esta privacidad a la medida, los cibercriminales, escondidos detrás de la Muralla de Adriano que es la encriptación y con direcciones IP disfrazadas, no parecen estar muy preocupados por investigaciones legales. Y es porque están conscientes de que los problemas de compatibilidad entre las leyes de varios países y la cooperación entre las autoridades es un proceso que puede tardar años. En la actualidad, las autoridades que se supone deben evitar su operación son demasiado inflexibles como para hacer su tarea de manera eficiente, como un elefante que intenta aplastar cucarachas.

"Trend Micro estuvo rastreando el malware para cambio de DNS y dando información a las autoridades durante seis años”, continúa Ferguson. “Y la actividad del FBI, en conjunto con otras agencias, duró cuatro años antes de que tuvieran la certeza para comenzar a hacer arrestos”.

Rik también me dijo que gran parte del spam que ha surgido en internet en el último año se origina en Arabia Saudi e India, países que antes no eran conocidos por la actividad de spammers. Este es sólo un ejemplo de cómo el rastro digital que las autoridades tienen que seguir rebota constantemente por todo el mundo, mientras que los servidores físicos que esconden ese rastro se encuentran en cientos de jurisdicciones diferentes, desde bunkers en Holanda hasta el Principado de Sealand, que supuestamente opera como un paraíso informático desde su fortaleza en la costa de Suffolk. Básicamente, los cibercriminales pueden correr libremente en casi todas direcciones al mismo tiempo, tanto en el mundo físico como en internet. Cuando las agencias del gobierno comienzan su persecución, los trámites burocráticos se encargan de amarrarles las agujetas.

Sigue a Sam en Twitter: @sambobclements