Este artículo es la primera entrega de una serie de cuatro sobre periodismo y ciberseguridad.
Primero, las malas noticias.
El año pasado fuimos testigos de un aumento exponencial en la frecuencia e intensidad de los ataques DDoS (por distribución de negación de servicio, en inglés) y otros ciberataques, dirigidos a silenciar a periodistas y sitios de noticias digitales. Los ataques recientes apuntan a la columna vertebral de la web, golpeando los servidores DNS.
En un ataque DDoS, los hackers usan miles de computadoras desprotegidas para sobrecargar un sitio web, haciendo imposible que alguien pueda visitarlos.
Los periodistas digitales empiezan a referirse a estos ataques DDoS como "la nueva censura", debido al crecimiento y expansión de métodos cada vez más sofisticados que los han hecho más fáciles (y baratos) para quien quiera desarticular algún sitio web.
Más de la mitad de los medios digitales en América Latina sufrieron ataques DDoS el año pasado debido a sus investigaciones, según un estudio sobre emprendimientos digitales realizado por SembraMedia.
Esta forma de censura digital va al alza en la región (y en el mundo), y se ha convertido en un problema tan común, que existen servicios gratuitos especiales diseñados para proteger a periodistas, organizaciones de derechos humanos y a observadores electorales. Aun así, muchos nativos digitales todavía desconocen la existencia de estos servicios o carecen del tiempo o la capacidad para instalarlos.
Los ciberataques van desde el hackeo de cuentas de email y redes sociales, hasta ataques de denegación de servicio (DDoS) y campañas de desprestigio digital. En esta serie de artículos, vamos a centrarnos en los ataques DDoS, porque tienen la capacidad de afectar docenas de sitios de internet, incluyendo a gigantes tan poderosos como el New York Times, Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast, EA y la red de PlayStation, todos al mismo tiempo (ver, en inglés, When the Entire Internet Seems to Break at Once).
¿Cómo funciona un ataque DDoS?
Imagina que tu sitio web es como un club nocturno de moda. A veces la pista de baile está llena, como cuando el tráfico sube porque acabas de publicar un video especialmente popular.
Ahora imagina que es un viernes en la noche. Tu competidor envía a un montón de matones a tu local que no solo llenan el sitio, sino que juntan a tal multitud en la puerta que ninguno de tus clientes regulares puede ingresar. Esto es, en esencia, lo que le sucede a tu sitio web en un ataque DDoS.
Tener protección contra estos ataques es como si contrataras a un muy buen vigilante para que resguarde tu puerta.
La parte complicada de los ataques de distribución de negación de servicio es la primera palabra: “distribución”. Si todos los matones se presentaran en tu club con el mismo uniforme de colores, sería fácil para el vigilante de la puerta detectarlos y dejarlos afuera. Pero si se disfrazan para parecerse a tus clientes bien vestidos, se pueden mezclar entre el público.
Los ataques de DDoS pueden no solo derribar tu sitio web, sino costarte una pequeña fortuna si no tienes un plan de web hosting ilimitado.
El equivalente digital sería si todo el tráfico de DDoS viniera de la misma computadora o del mismo proveedor de internet, pues entonces sería relativamente fácil reconocerlo y bloquearlo. Pero cuando los hackers establecen redes de computadoras vulnerables de todo el mundo, es mucho más difícil mantenerlos fuera. Y, como todo lo demás en el mundo de las computadoras, no solo los ataques DDoS se están volviendo más potentes, sino más baratos.
Hoy casi cualquier persona puede solicitar un ataque DDoS por tan solo 2 dólares. Con una simple búsqueda en Google, se pueden encontrar hackers que ofrecen perpetrar estos ataques, muchos de ellos con comentarios positivos por parte de sus clientes y garantía de devolución del dinero.
La mayoría de los ataques cibernéticos parecen ser lanzados por compañías que están tratando de obtener ventaja sobre sus competidores, pero están usándose cada vez más para derribar sitios de noticias y silenciar a periodistas y activistas. Los ataques DDoS pueden no solo derribar tu sitio web, sino costarte una pequeña fortuna si no tienes un plan de web hosting ilimitado.
Una de las razones de estos ciberataques es que los hackers quieren que enfrentes una factura de pago enorme por tu web hosting, sostiene Dimitri Vitaliev, cofundador y director de eQualit.ie, una organización sin fines de lucro de Canadá, que provee protección contra DDoS a través de su servicio Deflect. "Puedes tratar de saturar el servidor o bien puedes tratar de saturar los bolsillos del dueño de la cuenta".
Él explica que, por ejemplo, es casi imposible derribar un sitio web con un ataque DDoS cuando está en un servicio de hosting especial (o Premium) en la nube, pero el costo de manejar todo el tráfico extra puede ser significativo. En un ataque masivo, las facturas pueden subir rápidamente a los cientos o miles de dólares. Los proveedores de hosting más pequeños podrían decidir simplemente cerrar su sitio por un ataque que pueda ocasionarles problemas en todo su sistema.
Puedes lidiar con un ataque, pero es mucho mejor estar preparado antes de que ocurra
Como la fuerza de los ataques DDoS y otras formas de hackeo ha escalado en el último año, es fácil tener una perspectiva pesimista sobre la seguridad en internet. Afortunadamente, algunas personas listas y valientes como Vitaliev están dando pelea y proveyendo servicios gratuitos para proteger a los periodistas.
El tipo de protección que necesitas en contra de los ataques DDoS depende del tipo de hosting que tengas, el tipo de sitio que poseas y cuánto dinero estés dispuesto a gastar. En el nivel más alto, las compañías privadas están pagando decenas o hasta cientos de miles de dólares al mes por servicios de seguridad en internet.
Afortunadamente, si eres periodista, observador de elecciones o parte de una organización no gubernamental u organización de derechos humanos, hay al menos dos servicios que te protegerán gratis, como Jigsaw Project Shield (parte de la Compañía Alphabet y Google) y Deflect, parte de Equalit.ie.
Como los mejores vigilantes de un club nocturno, Project Shield y Deflect saben cómo detectar a los que causan problemas antes de que entren a tu club.
En los siguientes artículos de esta serie, exploraremos cada uno de estos servicios gratuitos para periodistas y explicaremos lo que necesitas para acceder a su protección.
Recursos y sitios de interés:
Lección de vocabulario: una guía completa para entender los ciberataques, como los de negación del servicio (DDoS)
Protege tu equipo de los malware y los hackers con “Seguridad en una caja – “Security in a Box”
Janine Warner es la fundadora y directora ejecutiva de SembraMedia, una organización dedicada a mejorar la calidad del contenido digital en español, que ayuda a emprendedores a implementar prácticas comerciales sostenibles y a generar nuevas fuentes de ingresos online. Conoce más sobre su trabajo como becaria ICFJ Knight aquí.
Imagen con licencia Creative Commons en Flickr, vía Blogtrepreneur. Imagen secundaria cortesía de SembraMedia.