Registraduría Nacional de Colombia.. ¿DoS o Negligencia?

En este articulo hablaremos sobre el supuesto ataque de "hackers" que sufrió la Registraduría Nacional de Colombia el día de elecciones, para entender mejor lo sucedido pongámonos en contexto:

El pasado domingo 14 de marzo se realizaron en Colombia las elecciones para el Senado de la República, Cámara de Representantes, los representantes de Colombia en el Parlamento Andino y las consultas interpartidistas. En años pasados los resultados parciales o "boletines" de las elecciones se generaban desde la Registraduría y eran entregados inmediatamente a medios de comunicación y a veedores internacionales unicamente, este año quisieron ademas de esto, ofrecer a todos los ciudadanos esta información también en "tiempo real" desde el sitio de la Registraduría nacional.

Para cumplir con la labor de divulgación de estos boletines, se contrató a la empresa UNE, que a su vez subcontrato a la empresa "Arolen" quienes serian los encargados de implementar toda la infraestructura tecnológica necesaria para cumplir con la demanda de información que tendría la pagina de la Registraduría.

El dia de elecciones, varios medios de comunicación reportaban fallos constantes en el portal de la Registraduría nacional, impidiendo así el acceso a la información, no solo para los ciudadanos sino para todos los medios que deseaban informar a la población, después de los fallos "Arolen" admite los problemas y habla sobre ello en la siguiente rueda de prensa echándole la culpa de los fallos a un ataque informático:

En el vídeo habla Iván Ribón, gerente de "Arolen" donde explica que los fallos se debieron a un ataque informático, por esto contrataron una empresa llamada "Adalid" para investigar el caso y llegaron a la conclusión que se trataba de un ataque de denegación de servicios (DoS) y afirman que "casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información".

El Registrador Nacional del Estado Civil Carlos Ariel Sánchez en una entrevista para el programa de televisión "El Radar", nos da un poco mas de información sobre el tema:

Como pueden ver el problema fue debido a un ataque de denegación de servicio hacia la pagina de la Registraduría, pero les recuerdo que estas paginas no necesitan un ataque de este tipo para caerse, se caen solas, es como decir que a la pagina del ICFES le hacen un DoS cada que salen los resultados de los estudiantes.

Personalmente pienso que la empresa "Arolen" no supo anticipar la cantidad de personas que consultarían la pagina de la Registraduría este día y el sistema les colapsó (como pasa con el ICFES, o los portales del gobierno cuando ofrecen 10 puestos para 5000 aspirantes), pero supongamos que es cierto y el ataque se llevo a cabo, ¿acaso no tenían los recursos para solucionar el problema?, miremos:

  • Arolen cuenta entre su portafolio el servicio de "seguridad informática", por lo que en teoría debe tener personal capacitado en seguridad que sepa reaccionar frente a un ataque de este tipo, aunque es una realidad que muchas empresas ponen en su portafolio este servicio, pero no cuentan con personal propio para realizar las labores sino que subcontratan, como parece ser este caso, ya que se asesoraron de una empresa externa llamada Adalid solo después que el ataque fue realizado.
  • Mitigar un ataque de denegación de servicio (y mas si es distribuido) no es sencillo, pero el contrato del que estamos hablando asciende a los 77 mil millones de pesos, estoy seguro que podían contratar una empresa de seguridad decente (que tenemos muchas en el país) que les solucionara el problema (ya que claramente ellos no pudieron hacerlo).
  • UNE tiene una de las mejores infraestructuras de telecomunicaciones del país, fácilmente podría soportar la cantidad de trafico que aseguran recibió la pagina de la Registraduría (75 mil veces por segundo) incluso sin poner ningún tipo de reglas en su firewall que mitigara el ataque, pero UNE es una empresa privada y busca maximizar sus ingresos a toda costa, por eso subcontrató a Arolen y se desentendió del problema (aunque ellos podian solucionarlo).
  • La Registraduría cuenta con diferentes cuentas en distintas redes sociales que podrían haberse utilizado como medio alternativo para divulgar la información sin sufrir ningún problema, por ejemplo su cuenta de twitter twitter pude ser un excelente medio de difusión de información, su blog en Blogger blog seguro no hubiera sentido los 75mil hits por segundo, lo mismo con sus cuentas en face book youtube y h5 *.
  • No creo que servicios como el Amazon Simple Storage Service (Amazon S3) o el Google App Engine. hubieran sido tomados en cuenta por la empresa Arolen para solucionar el problema *.

* posiblemente utilizar redes sociales y servidores externos no hubiera sido una buena opción debido a lo delicado de la información, pero es una posible solución al problema.

Al afirmar que "casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información" nos dan a entender que se trataba de un ataque de denegación de servicio distribuido (DDoS), posiblemente lanzado desde alguna red de equipos zombies (botnet), pero tratan de incriminar una "empresa" u "organización criminal" cuando la realidad es que cualquier persona con 300USD disponibles, puede alquilar una Botnet para realizar un ataque como el que supuestamente sufrió la Registraduría.

El que arolen tuviera que contratar a una empresa de seguridad para saber qué fue lo que pasó en sus servidores, solo demuestra que sus servicios de "seguridad informática" son una total farsa y no contaban con el personal adecuado para hacer frente a un incidente como este, tenían todos los medios necesarios para solucionar el problema ¿por que no lo hicieron?, quedamos a la espera del análisis forense que se le realice a lo servidores afectados (si es que se les realizaría este tipo de análisis) para aclarar lo sucedido el pasado domingo 14 de marzo.

ACTUALIZADO:
El periódico el tiempo acaba de publicar un articulo titulado "Desde una misma dirección ingresaron 75 mil veces a la página de la Registraduría" en el que nos confirma que el ataque se realizo desde una sola maquina y no fue un ataque de denegación de servicios distribuido (DDoS) como se pensaba, lo que confirma que el problema en la pagina de la Registraduría fue por NEGLIGENCIA de la empresa Arolen ya que con un simple "iptables -A INPUT -s IP -j DROP" (si el servicio estaba sobre un servidor GNU/Linux) o bloquear la ip con cualquier otro firewall bastaba para detener el ataque.

Phishing a Movistar Colombia
Subir

¡No te pierdas el CONGRESO DE HACKERS - DragonJAR Security Conference! ¡Regístrate ahora!