Del dia, Destacado, Noticias, Principal

El origen de ciber ataques apuntan a Miami

El martes pasado , la empresa de seguridad vietnamita Back Khoa Interetwork Security (Bkis) identificó el servidor maestro utilizado para coordinar los ataques de negación de servicio que echaron abajo las principales páginas webs gubernamentales de Estados Unidos y Corea del Sur. Dicho servidor tiene una dirección IP utilizada por Global Digital Broadcast, una empresa de tecnología IP TV con sede en Brighton (Inglaterra), según Bkis. Ese servidor maestro distribuyó las instrucciones a otros ocho servidores de órdenes y control utilizados en el ataque. Bkis, que ha logrado tomar el control de dos de los ochos equipos, asegura que en el ataque se emplearon 166,908 computadoras hackeadas en 74 países, programados para obtener nuevas instrucciones cada tres minutos. Aunque el servidor principal pertenece a una compañía británica, se encuentra en Miami, según Tim Gras, uno de los propietarios de Digital Global Broadcast. El equipo pertenece a Digital Latin America (DLA), uno de los socios de DGB. DLA codifica los programas latinoamericanos para su distribución a través de dispositivos compatibles con IPTV, como los set-top boxes. Los nuevos programas se reciben vía satélite y codifican en el formato adecuado para, posteriormente, enviarlos a Reino Unido mediante una VPN, donde Digital Global Broadcast distribuye el contenido, según explicó Gras. La conexión VPN hizo que el servidor maestro pareciera que pertenecía a DGB, si bien está situado en el centro de datos de DLA en Miami. Los ingenieros de Digital Global Broadcast descartaron cualquier vínculo de los ataques con el gobierno de Corea del Norte, tal y como habían sugerido las autoridades surcoreanas. Digital Global Broadcast recibió una notificación sobre un problema de su proveedor de hosting, C4L, afirma Wray. Su compañía también fue contactada por la agencia británica SOCA (Serious Organized Crime Agency), que sin embargo ni ha confirmado ni desmentido la investigación. Por su parte, Amaya Ariztoy, consejera general de DLA, ha confirmado que la compañía ha examinado el servidor en cuestión como parte de una investigación interna y que “han encontrado virus”. Los investigadores deberán confiscar el servidor maestro para realizar un análisis forense, lo que normalmente supone una carrera contra los hackers pues el equipo sigue bajo su control y podrían borrar datos críticos que ayudarían a la investigación. “Es un proceso tedioso y hay que hacerlo tan rápido como sea posible”, explica José Nazario, director de investigación en seguridad de Arbor Networks. Estos datos se refieren a archivos de logs, registros de auditoría y archivos cargados que podrían revelar desde dónde y cuándo se conectó el atacante. Para cometer los ataques, los hackers modificaron una vieja pieza de código malicioso llamada MyDoom, que apareció por primera vez en 2004. MyDoom tiene características de gusano que se distribuye por email aunque también puede descargar malware a un PC y ser programado para llevar a cabo un ataque de denegación de servicio contra páginas web.