En Resumen
- Musk afirmó que el ataque DDoS a X se originó en Ucrania, pero los expertos dudan sobre la veracidad de sus afirmaciones.
- Los hackers usaron VPNs y suplantación de IP, dificultando rastrear el origen real de las transacciones.
- Los ataques DDoS son descentralizados y difíciles de mitigar completamente.
La afirmación de Elon Musk de que el ataque DDoS contra X (anteriormente Twitter) se originó en Ucrania generó escepticismo entre los expertos en ciberseguridad, quienes argumentan que atribuir ataques basándose en direcciones IP no es confiable.
Los atacantes frecuentemente utilizan redes privadas virtuales (VPNs) y otros métodos para ocultar sus orígenes, lo que dificulta identificar una fuente geográfica específica.
El lunes, X fue objetivo de un ataque distribuido de denegación de servicio que cerró intermitentemente el popular sitio de redes sociales para usuarios de todo el mundo. El ataque DDoS a X fue vinculado a Dark Storm Team, un notorio grupo hackivista conocido por lanzar interrupciones cibernéticas similares a gran escala.
X Outage Linked to Dark Storm Hacker Group as Elon Musk Confirms 'Massive Cyberattack'
Elon Musk’s social network X was hit by at least three distributed denial of service attacks Monday that took the site down intermittently worldwide. “There was (still is) a massive cyberattack against X,” Musk posted. “We get attacked every day, but this was done with a lot of resources. Either a large, coordinated group and/or a country is involved.” Musk said the attack was linked to IP addresses in Ukraine during an interview with Fox Business on Monday afternoon. “We’re not sure exactly wha...
Horas después del ataque, Musk afirmó durante una entrevista con Fox Business que las direcciones IP asociadas con el ataque se originaron en el área de Ucrania.
Usuarios con conocimientos técnicos en X rápidamente señalaron que las direcciones IP pueden ser enmascaradas o falsificadas, haciendo que parezcan originarse de una región cuando en realidad provienen de otra.
Dear Elon:
You can't attribute an attack to any geographic location by IP address alone.
See: VPN, location spoofing, etc.
Also See: How botnets are controlled remotely
Also Also See: Ask a cybersecurity person to help you.— MikeTalonNYC (@MikeTalonNYC) March 10, 2025
Los profesionales de ciberseguridad también advirtieron contra sacar conclusiones basadas únicamente en datos de direcciones IP.
"Los atacantes utilizan estrategias como suplantación de IP, VPNs y servidores infectados con malware para realizar estos ataques", dijo Siri Vegiraju, Ingeniera de Desarrollo de Software en Microsoft Azure a Decrypt. "Específicamente, con la suplantación de IP los atacantes crean paquetes con direcciones IP de origen falsas para básicamente hacerse pasar por otros sistemas".
Sumando a la dificultad de detener los ataques DDoS está el hecho de que son inherentemente descentralizados, lo que los hace difíciles de rastrear.
"Si alguien estuviera realizando un ataque DDoS, no necesariamente verías cada conexión originándose desde una dirección IP de una nación específica o bloque de red", dijo Scott Renna, Arquitecto Senior de Soluciones de la firma de seguridad blockchain Halborn, a Decrypt. "Por definición, el ataque tendría que provenir de múltiples direcciones IP".
EEUU y Reino Unido Imponen Sanciones a Zservers por Facilitar Ataques Ransomware
Las agencias gubernamentales de Estados Unidos, Reino Unido y Australia han impuesto conjuntamente sanciones a Zservers, un proveedor de servicios de hosting con sede en Rusia utilizado por el notorio grupo LockBit y otros atacantes de ransomware. La Oficina de Control de Activos Extranjeros de Estados Unidos (OFAC) ha incluido a Zservers y seis de sus empleados en la lista de Nacionales Especialmente Designados (SDN), bloqueando cualquier activo que puedan poseer en Estados Unidos y prohibiendo...
Renna señaló que los atacantes distribuyen su tráfico a través de numerosas ubicaciones para evitar la detección y los esfuerzos de mitigación.
"Desde una perspectiva óptica y desde el punto de vista de bloqueo y prevención, simplemente no es así como se hace típicamente", afirmó.
Mientras los orígenes del ataque a X siguen siendo un misterio, están surgiendo sitios web de DDoS como servicio para facilitar el lanzamiento de ataques a gran escala. Estos sitios web permiten a los clientes pagar para lanzar ataques DDoS.
Hay dos tipos principales de DaaS.
Servicios "Stresser", que son herramientas legítimas que las empresas utilizan para probar y fortalecer su infraestructura de TI. Luego están los servicios "Booter", que son plataformas maliciosas diseñadas para interrumpir o derribar sistemas específicos.
Los equipos de ciberseguridad pueden utilizar el enrutamiento blackhole DDoS y el bloqueo geográfico para minimizar el impacto de los ataques DDoS, lo que podría haber prevenido el tipo de ataque que interrumpió X esta semana.
El enrutamiento blackhole es una medida de emergencia que bloquea instantáneamente todo el tráfico a una IP específica durante un ataque, pero también afecta a usuarios legítimos, convirtiéndola en una solución temporal.
El geo-bloqueo limita el acceso desde regiones de alto riesgo, reduciendo las amenazas cibernéticas sin interrumpir a la mayoría de los usuarios.
En abril de 2022, el proveedor de seguridad de internet Cloudflare mitigó con éxito un ataque DDoS masivo dirigido a un sitio web de criptomonedas no identificado que intentó saturar el servicio con 15,3 millones de solicitudes por segundo.
Mientras servicios como Cloudflare sobresalen en defender contra amenazas cibernéticas, Renna enfatizó la importancia de prepararse para posibles fallos.
"Servicios como Cloudflare hacen un buen trabajo para las empresas", dijo Renna. "Pero se reduce a qué sucede cuando estos fallan".
Editado por Sebastian Sinclair.
