Els ciberatacs de l'abril mai s'havien registrat a Europa

L’Agència de Ciberseguretat assegura que els atacs informàtics rebuts el 10, 12, 14 i 15 d’abril no tenen precedents a Europa. “Vam compartir la informació dels darrers atacs no perquè fossin denegacions de servei, que són habituals, sinó per la tipologia d’atac que vam rebre” va explicar al Diari César Marquina, secretari d’estat de Transformació Digital i Projectes Estratègics i director de l’Agència de Ciberseguretat. “Quan hem compartit en l’àmbit europeu mostres d’aquests atacs tan precisos ens comenten que és el primer cop que veuen un atac d’aquest tipus”, va detallar Marquina. Fins ara només alguns proveïdors de serveis a estats europeus més grans han rebut atacs similars, però no de la precisió dels que va rebre Andorra.

DINÀMIQUES DELS ATACS

El model de funcionament dels assalts rebuts ha anat variant. L’atac del mes de gener va ser de molt volum que saturava els enllaços amb els quals el país es connecta a la resta del món. Aquell atac va multiplicar per tres la capacitat de connexions del Principat. “La xarxa no està infradimensionada, està adaptada a la població”, va comentar César Marquina, però el volum d’entrada de trànsit va ser enorme. Quan hi ha ciberatacs de denegació de servei com els que ha rebut Andorra els darrers mesos un minut després de l’inici de l’atac s’activen les mitigacions d’aquest trànsit i el problema queda solucionat dos minuts després que comenci l’atac. “Evidentment, aquests dos minuts es poden fer eterns, però l’actuació és ràpida”, va apuntar Marquina. La qüestió rellevant és que els atacs de mitjans d’abril eren molt precisos i duraven 2 minuts, de manera que quan els pirates informàtics tornaven a atacar al cap de 15 minuts i els sistemes de defensa havien d’adaptar-se a una ofensiva nova.

Els assalts solen començar des de xarxes de bots en països llunyans amb poques connexions amb Andorra. El del 10 d’abril venia principalment de Corea del Sud i el Japó, segons Andorra Telecom. Per evitar-los habitualment el que es fa és tallar momentàniament la connexió amb els països d’origen dels atacs. “Un cop tallem aquestes línies els atacs solen venir de països més propers o amb els quals és impossible tallar la connexió com França o Espanya”, va dir Marquina.

L’OBJECTIU, ELS YOUTUBERS

L’hora en què es fan els atacs és rellevant. Els atacs poden ser reputacionals o per diners o qualsevol altra raó, però concretament es van fer en hores de màxima audiència a la plataforma de streaming Twitch. “Definitivament, quan un atac que es fa de 9 a 12 de la nit ataca una activitat concreta vinculada sobretot als streamers o al consum de mitjans, va contra ells”, va assegurar el director de l’Agència de Ciberseguretat. Per explicar-ho, Marquina posava un exemple clar: si s’hagués volgut perjudicar l’economia del país es podria haver llençat el ciberatac un dissabte a les 5 de la tarda en plena temporada d’hivern que afectes el sistema de pagament amb targeta.

Andorra té un màxim de connexions possibles. La Unió Internacional de Telecomunicacions, que depèn de Nacions Unides, les assigna per països. Aquestes assignacions tenen un cost. Cada país adquireix les IP que necessita per satisfer la seva demanda. Però és un número finit. “Per evitar saturacions de servei al país es podria sobredimensionar el volum d’IP, però la despesa que exigiria seria inassumible”, va dir.

COM SÓN ELS ATACS?

1. Molts atacs molt curts per ser indetectables

Atacs de dos minuts separats per pauses de 15 que ataquen IP del sistema de manera aleatòria i repartida per camuflar el trànsit maliciós de dades.

2. Primer des de lluny, després des de prop

La primera onada d’atacs ve de xarxes de bots a països llunyans com Corea o Japó, quan les línies es tallen venen de països com França o Espanya.

3. Més refinats i adaptats a les proteccions

Els pirates informàtics aprenen a burlar les proteccions. L’atac del gener va ser poc sofisticat. La millora de la protecció va obligar a refinar la tècnica.