La realidad supera a la ficción, y en ocasiones, la ficción se adelanta a la realidad. Es el caso de MafiaBoy, alias de Michael Calce, un hacker que con tan solo 15 años puso en apuros a empresas de internet como Yahoo!, Amazon, eBay o a la cadena de noticias CNN. Su historia empieza en febrero de 2000. Pero cinco años antes, una película con un nombre tan esclarecedor como Hackers y protagonizada por Johnny Lee Miller y Angelina Jolie, empezaba precisamente con un joven que era arrestado por el Servicio Secreto de Estados Unidos y juzgado por la caída de 1.507 ordenadores de Wall Street. Ese ataque ficticio y el ataque DDoS que realizó MafiaBoy en la vida real tienen mucho en común.
Ambos iban contra el capitalismo, contra el poder que otorga el dinero. Y ambos tuvieron consecuencias valoradas en millones de dólares perdidos. Más coincidencias. Ambos fueron multados, castigados sin internet y, aunque no pisaron la cárcel por su corta edad, sí estuvieron bajo custodia vigilada con sus padres. Y Calce estuvo en un centro de menores al menos ocho meses. En la actualidad, Michael Calce es experto en seguridad. Pero si por algo es conocido este canadiense es por encabezar el primer gran ataque DDoS de la historia contra los grandes de internet.
La hazaña de MafiaBoy expuso las vergüenzas de internet. O como dijeron varios expertos de la época, tras ese hackeo de 2000 se descubrió que internet estaba expuesta, no era tan segura como podíamos imaginar y que más pronto que tarde tendríamos que tomar medidas para evitar que la caída de servidores arruinara negocios. Sin embargo, y aunque se han introducido cambios y mejoras de seguridad a lo largo de estos más de 20 años, los ataques DDoS se siguen sucediendo. Hay medidas de seguridad que permiten limitar su impacto, pero no todos los sistemas informáticos cuentan con la seguridad adecuada.
El primer gran ataque DDoS, pero no el primero
Colapsar los servidores de Yahoo!, Amazon, Buy, eBay o CNN tiene mucho mérito. Y más si tienes 15 años. De ahí que se hable del suceso de febrero de 2000 como el primer ataque DDoS de la historia. Técnicamente lo es, pero con matices. Es el primer ataque a gran escala, y el primer ataque contra empresas de internet. Pero hay varios ataques previos también de tipo DDoS, acrónimo que hemos traducido por Denegación de Servicio Distribuido.
Un ataque DDoS consiste en enviar peticiones simultáneas a un servidor, más de las que puede procesar. Esto hace que el servidor, como medida de seguridad, deniegue el servicio que venía ofreciendo. El resultado es que una página web no se cargue en tu navegador. Y en los casos que nos ocupa, se traduce en no poder comprar online, no poder ver las noticias o no tener acceso a determinada información.
Según un artículo publicado en We Live Security, portal de la firma de seguridad ESET, previamente al ataque de 2000 de MafiaBoy hubo, al menos, dos casos anteriores reportados por la prensa de la época. Uno sucedió en septiembre de 1996 y afectó a un proveedor de internet de nombre Panix y con sede en Manhattan. Otro ataque DDoS posterior ocurrió en julio de 1999 y tuvo como víctima la Universidad de Minnesota. Leyendo la noticia original de 1996, publicada en The New York Times, leemos que el ataque de denegación de servicio es algo que ya conocían los expertos.
Y según las declaraciones del experto consultado, Peter G. Neumann, “En principio, la mayoría de los ataques de denegación de servicio que vemos no tienen solución”. Esto nos da una pista de que ya se habían producido ataques de este tipo con anterioridad, pero a pequeña escala. Neumman añade: “El problema genérico es básicamente irresoluble”.
Queda claro, pues, que la denegación de servicio o ataque DDoS era algo que los expertos conocían pero que todavía no era un problema grave. Pero en 2000, internet había dejado de ser algo para universidades y agencias gubernamentales. El sector privado ya se había introducido poco a poco y, en ese entonces, ya existían grandes empresas de internet que daban servicio a millones de usuarios. En España, el año 2000 cerraba con 5’5 millones de usuarios. Pero es que en Estados Unidos, ese año, el 52% de adultos accedía a internet. 70% si acotamos la edad entre 18 y 29 años. Y 61% entre 30 y 49. Unos 54 millones de hogares norteamericanos tenían ordenador. De estos, 44 millones estaban conectados a internet.
Así nace un hacker
Michael Calce vivía en Montreal, Quebec. Siguiendo con las coincidencias con la película Hackers, sus padres se divorciaron y acabó viviendo con su madre. Si bien en el film, el divorcio se produce después del hackeo. En la vida de Calce, sus padres se divorcian cuando él apenas tiene cinco años y pasa a vivir con su madre. Como intento de mitigar ese cambio tan brusco en su vida, su padre le regala un ordenador cuando ya contaba con seis años de edad. Con ese ordenador, el joven y curioso Calce tomará contacto con la comunidad hacker a través de canales de chat de la red IRC.
Casi diez años después, con 15 años, Michael Calce, alias MafiaBoy, decide iniciar un proyecto de hacking ambicioso bajo el nombre Project Rivolta. El nombre Rivolta viene del italiano, que en castellano podemos traducir como revuelta, revolución o sublevación. Precisamente, su alias venía del italiano, mafia, palabra que hemos incorporado en otras lengua pero que tiene su origen en el crimen organizado surgido en el sur de Italia. El objetivo del proyecto Rivolta era llamar la atención, hacerse un nombre. Y MafiaBoy no está solo. Tiene su propio grupo de hackers, de nombre TNT, como el explosivo. Las víctimas elegidas para el ataque fueron las empresas millonarias de internet.
MafiaBoy contra la internet del dólar
Primer objetivo, Yahoo! El popular portal de internet y buscador web. El Google de entonces. Irónicamente, a finales de ese mismo 2000, Google empezará a despuntar, haciendo que Yahoo! se desplome en bolsa. Pero esa es otra historia. A principios de 2000, Yahoo! es una de las páginas más visitadas y su valor estimado es de al menos 93.000 millones de dólares. El ataque DDoS de MafiaBoy hará que su página principal esté caída durante horas, según explican medios de la época, como la CNN. Según Yahoo!, un exceso de tráfico de datos hacia su página principal hizo que estuviera caída de manera intermitente durante al menos dos horas y media. Un analista de seguridad compara esta caída con los cortes de luz que puede sufrir cualquier otro negocio o empresa.
Algunos medios mencionan ataques previos a eBay, otro grande de internet ya en 2000. Precisamente, dos días después del ataque a Yahoo!, MafiaBoy y su grupo TNT deciden atacar los servidores de Buy.com, eBay, CNN y Amazon. Medios como Computerworld hablan de cyberassault, lo que en español hemos traducido como ciberataque. Como curiosidad, tanto Buy.com como eBay tenían como proveedor de servidores la empresa Exodus Communications, víctima del ataque DDoS. En el mismo artículo de Computerworld, representantes de Yahoo! hablan de ataques coordinados de hasta 50 direcciones IP simultáneas.
¿Cómo pudo un adolescente de 15 años tumbar los servidores de esos grandes de internet? La respuesta la dio el propio MafiaBoy en entrevistas posteriores, ya de adulto, y en su propia biografía. Según recopila la Wikipedia, se limitó a añadir direcciones IP en una herramienta de seguridad que había descargado de un repositorio. Las direcciones utilizaban pertenecían a ordenadores de universidades que contaban con mayor ancho de banda y más capacidad de procesamiento. Los ingredientes idóneos para un buen ataque DDoS que apareció en todos los medios de la época.
Las consecuencias para MafiaBoy
Varias fueron las consecuencias del que se considera el primer gran ataque DDoS de la historia. Como hemos visto, no fue el primero en su clase, pero sí logró la suficiente atención para convertir a Michael Calce en una celebridad dentro y fuera de la comunidad hacker. De ahí que durante el resto de su vida se haya dedicado a la ciberseguridad. Sin embargo, la consecuencia inmediata de sus acciones tuvieron implicaciones legales.
El FBI descubrió quién se encontraba detrás de los ataques por algo tan simple como que el propio Calce hablase de su autoría públicamente en canales de IRC. Entre sus logros, MafiaBoy destacaba el intento de tirar los servidores de Dell, algo que no había transcendido todavía a la prensa, pero que sí estaba en conocimiento de las autoridades. El FBI sólo tuvo que rastrear su alias en el IRC hasta dar con él. Al ser canadiense, con ayuda de las autoridades de ese país.
Michael Calce fue juzgado en Canadá acusado de 56 cargos, según explican medios como The Register, citado por Wikipedia. En aquel entonces, los medios no pudieron publicar su nombre real por motivos legales, era menor. El 12 de septiembre de 2001, ya con 17 años de edad, fue condenado a ocho meses de “encarcelamiento” en un centro para menores. Luego pasaría un año entero bajo arresto domiciliario y con uso limitado a internet, aunque se le permitía asistir a clase y acudir a su puesto de trabajo, ya que consiguió un empleo a tiempo parcial.
También fue multado con 250 dólares estadounidenses que debían ser donados a caridad, tal y como explica Wired en un artículo de la época. En el artículo explica que la sentencia hubiera podido ser peor y subir a dos años de detención. Las declaraciones del fiscal: “Creemos que es una sentencia razonable. Envía un fuerte mensaje a los piratas informáticos de que serán atrapados si hacen cosas así”.
Las consecuencias para todos
Fama, un trabajo de por vida y un castigo ejemplar. Estas fueron las consecuencias para Michael Calce. Para las empresas afectadas, pérdidas valoradas en varios millones de dólares para Yahoo! o en cientos de miles de dólares para Amazon, que todavía no era el gigante que es hoy. Y un aviso: esos ataques DDoS eran solo el principio de lo que vendría.
Precisamente, Bill Clinton, presidente de Estados Unidos cuando se produjo el ataque de MafiaBoy, organizó una cumbre de ciberseguridad con expertos en seguridad y miembros de las principales empresas de internet. El País abría esa noticia con una declaración del propio Presidente, dando a entender que el ataque DDoS sufrido por Yahoo! y otros “no fueron Pearl Harbour”. A pesar de este intento por restarle importancia, de la cumbre surgió la propuesta de crear un instituto de ciberseguridad con 9 millones de dólares como inversión inicial.
Los ataques DDoS siguen siendo una amenaza para internet. Aunque hay herramientas para aplacarlos o reducir su impacto, cada día se suceden varios ataques a empresas, páginas web, organismos públicos, fundaciones, bancos, etc. Este tipo de ataque hace que un servicio no esté disponible durante horas, lo que implica molestias en sus usuarios pero también dinero perdido según cual sea la función de esos servidores caídos.
Además, en la actualidad es más fácil realizar este tipo de ataques, según explica el propio Michael Calce en varias entrevistas. Hoy en día es posible acceder a mercados de ordenadores infectados que puedes alquilar para lanzar tus propios ataques DDoS. No necesitas conocimientos informáticos. Pagando incluso tienes soporte técnico personalizado. Lo que empezó como una prueba de superación por parte de un hacker adolescente, hoy en día se ha convertido en un negocio lucrativo en el que delincuentes de todo el mundo emplean este tipo de ataques para extorsionar empresas y organizaciones a cambio de dinero.