Andorra Telecom lleva sufriendo desde el viernes por la noche continuos ataques distribuidos de denegación de servicio (DDoS), esto hace que muchos de sus clientes tengan problemas a la hora de navegar, e incluso la web oficial del operador no se encuentra disponible debido a estos ataques. Parece que el operador está mitigando estos ataques, pero no es suficiente para hacer frente al DDoS que le están haciendo. ¿Qué puede hacer Andorra Telecom para defenderse de estos ataques?
¿Cuándo empezaron los ataques?
El viernes por la noche sobre las 20.00 y coincidiendo con la celebración de los «Squid Games», el operador Andorra Telecom empezó a sufrir un ataque de denegación de servicio distribuido. Debido a este ataque, los streamers y YouTubers más populares que residen en Andorra no pudieron conectarse y tuvieron que abandonar el juego para no interrumpir a sus compañeros. El operador en todo momento ha informado a través de Twitter de todos los problemas ocasionados por este ataque DDoS, en algunas ocasiones se vio afectada su red de fibra, y también su red de 4G, ya que parece ser que los ataques están afectando al operador en sí, y no importa la forma de proporcionar la conexión a Internet.
Algunos de los streamers y YouTubers más populares como Auronplay, El Rubius o TheGrefg no pudieron hacer streaming en Twitch ni tampoco participar en estos juegos, por lo que todo el mundo se dio cuenta de que algún problema sí estaba existiendo en las conexiones desde Andorra.
Además del viernes por la tarde, también el sábado por la tarde sobre la misma hora empezaron los ataques, el operador informó puntualmente a través de Twitter, indicando que algunos usuarios podrían tener dificultades para navegar por Internet, pero en este caso en un par de horas consiguieron solucionar el problema. El operador indicó que estos ataques buscan perjudicar a los streamers y youtubers que residen en el país, por lo que este tipo de ataques impiden desarrollar su trabajo en Andorra.
Por último, hoy lunes a las 10 de la mañana, el operador ha informado que otra vez han comenzado los ataques de DDoS a sus redes, y que es posible que los clientes tengan problemas para conectarse a Internet.
Andorra Telecom@AndorraTelecom⚠️ La xarxa d’internet està patint NOVAMENT un atac de denegació de servei (DDoS). Per aquest motiu, alguns usuaris podeu tenir dificultats per navegar per internet. Ho estem mitigant.24 de enero, 2022 • 09:49
139
24
Tal y como podéis ver, el operador está intentando mitigar este ataque que afecta a muchos de sus clientes, e incluso podría llegar a afectar a todos ellos.
¿Qué puede hacer el operador para mitigarlo?
El operador, dependiendo de cómo sea su infraestructura a nivel de hardware, puede mitigar este ataque cortando las comunicaciones entrantes desde donde se está originando el tráfico malicioso, no obstante, antes debemos saber que existen dos tipos de ataques DDoS:
- Ataques DDoS donde se realizan millones de conexiones concurrentes.
- Ataques DDoS volumétricos. En este caso el ataque DDoS consiste en enviar cientos de Gbps desde varios orígenes, con el objetivo de colapsar la red troncal del operador. En este caso poco se puede hacer, además de ampliar su infraestructura de red con enlaces más rápidos.
En el primer caso, cuando se realizan millones de conexiones concurrentes, el objetivo del ataque DDoS es saturar en conexiones los diferentes servidores, levantando miles de conexiones TCP simultáneamente con el objetivo de bloquear los equipos finales. Mitigar este tipo de ataques a nivel de operador suele ser bastante sencillo, simplemente lo que hay que hacer es detectar en base a unos filtros, cuáles son las direcciones IP de origen desde donde se están produciendo, y a nivel de red cortar todas las comunicaciones desde esos orígenes hasta cualquier destino dentro del sistema autónomo de Andorra Telecom.
El segundo caso es más complicado solucionarlo, cuando están realizando un DDoS enviando muchos Gbps contra la red, la única forma que hay de solucionar este problema es ampliar el caudal o ancho de banda disponible por encima del tráfico que llega, para que no colapse y pueda haber comunicaciones. Imaginemos que Andorra Telecom tiene un caudal de 40Gbps contra un punto neutro o el peering con otro operador, si el ataque DDoS supera este caudal, entonces la red no es capaz de gestionar el tráfico legítimo porque no hay más ancho de banda. En este caso, aumentando a 100Gbps por ejemplo, se obligaría a los ataques a crear un ataque DDoS de mayor magnitud.
Otra opción posible para este segundo caso, es mitigar el ataque antes de que llegue. Si se están atacando algunas direcciones IP o rangos de direcciones, se podría configurar rel BGP para dejar de anunciar esas rutas, pero lógicamente estas direcciones IP públicas no tendrán conectividad a Internet (hasta que vuelvan a anunciarse). Esta es la mejor forma para «mitigar» el ataque DDoS si afecta a varias direcciones IP, dejar de anunciarlas para que no afecte al resto de la red, es lo denominado como Blackhole BGP.
Según el portavoz de Andorra Telecom, el ataque de este DDoS es de entre 350 y 600Gbps, cuando el tráfico normal de la red se sitúa en los 35-40Gbps, por lo que están asumiento un aumento de hasta 20 veces más de tráfico que lo normal. Aunque no es la primera vez que reciben un ataque DDoS, sí es uno de los más potentes que han recibido hasta la fecha.
¿Qué pueden hacer los YouTubers y streamers?
Generalmente en otros países hay varios operadores de Internet, por lo tanto, si un operador tiene problemas, seguramente otro operador no los tenga. El caso de Andorra es algo excepcional, y es que solamente existe un operador de Internet, tanto a nivel de fibra como de servicio 4G. Si hay problemas con este operador no te vas a poder cambiar, solamente te queda esperar hasta que el equipo de respuesta a incidentes del operador mitiguen este ataque cuando se produce, o que los ciberdelincuentes dejen de atacar al operador.
Debemos tener en cuenta que estos ataques no suelen ser demasiado largos en el tiempo, es decir, es posible que si estos ataques continúan, lo hagan en un determinado horario y no durante todo el tiempo. El problema principal es que los streamers podrían tener problemas por las tardes, que es en el horario punta de este tipo de contenido.
Según hemos podido saber en el Twitter oficial de Andorra Telecom y en la prensa andorrana, los YouTubers ya han denunciado estos hechos y las autoridades del país están investigándolo, con el objetivo de intentar atrapar a estos ciberdelincuentes. Mientras tanto, el equipo de ciberseguridad de Andorra Telecom continúa trabajando para seguir mitigando estos ataques.