Ahora, tras vivirlo en primera persona, creo que lo sé y hay tres reflexiones que me gustaría compartir.
1ª. ¿Cuánto cuesta un ataque?
Seguramente habrá quien piense que soportar un cíber-ataque por denegación de servicio basado en fuerza bruta resulta inocuo económicamente, pero nada más lejos de la realidad.
En primer lugar hay que valorar los costes energéticos. Hay una relación directa entre el consumo energético de los sistemas del datacenter y la carga que éstos deben soportar. La electrónica de red, los firewalls, los servidores de aplicaciones, los frontales web, los motores de base de datos, el almacenamiento y su consiguiente refrigeración consumen más y más energía a medida que aumenta la carga.
Y la cifra no es despreciable; un datacenter de tamaño medio consume en torno a 250.000 vatios/hora (por supuesto, muchísimo más si hablamos de grandes datacenters). Para poder entender la magnitud de la cifra, decir que es equivalente al consumo máximo de un edificio de viviendas de 20 plantas con 4 viviendas por planta. Cada minuto que el datacenter está al máximo de carga equivale a un importante incremento en la factura energética.
Pero aún siendo el gasto energético relevante, se queda realmente pequeño cuando se compara con los aumentos de potencia de TI para soportar hipotéticos futuros ataques.
Si en lugar de hablar de infraestructuras de TI se hablase de autopistas nadie en su sano juicio plantearía nuevas vías con cincuenta carriles para absorber la operación salida de verano. Como es de esperar, las infraestructuras de TI no se diseñan para soportar una carga infinita sino para soportar un número de veces limitado (5, 10, 20, ¿100?,...) la carga máxima estimada.
Y cada vez que se produce un ataque de denegación de servicio los responsables de la infraestructura atacada sienten la inmediata tentación de multiplicar por cinco la potencia de procesamiento disponible. Y esos aumentos de potencia suponen una inversión inicial enorme en hardware (decenas o centenas de miles de euros), otra a continuación en software (muchos sistemas basan su sistema de licenciamiento en la potencia de las máquinas), y otra última en forma de mayor consumo energético.
Y lo peor de todo: habrán construido su particular autopista de cincuenta carriles con el coste que ello supone pero ni aún eso les garantiza salir airosos del siguiente ataque.
2ª. Atacar un sitio web es muy similar a atacar una oficina tradicional
En el caso específico de una administración pública, y más en el de un ayuntamiento por ser la administración más cercana al ciudadano, su sitio web es algo muy similar al mobiliario urbano. Su web, construida con dinero público, permite la tramitación administrativa de ciudadanos y empresas, pero también permite otras cosas mucho más terrenales como reservar una pista de tenis o baloncesto para el día siguiente, renovar un préstamo de un libro en su biblioteca, consultar la agenda cultural de su ciudad,... En definitiva, constituye lo que podría llamarse el cíber-mobiliario urbano.
Sin embargo, la percepción ciudadana y mediática es muy diferente frente a hechos razonablemente similares. Se responde de forma muy diferente al hecho de quemar un contenedor de recogida de basuras y al ataque de un sitio web pese a que ambos suponen una merma de servicios ciudadanos y tiene un importante coste para las arcas públicas.
La legislación norteamericana habilita el uso de fuego real para responder a cíber-ataques, lo que a todas luces parece excesivo pero también es anormal el que los ataques a sitios web se publiquen en las redes sociales con absoluta impunidad. En algunos casos se pueden leer tweets que claramente incitan al ataque, en ocasiones incluso lanzados desde cuentas de Twitter asociadas a empresas.
3ª. El término cíber-activista
La última reflexión que considero relevante es la cobertura que los medios de comunicación dan a los cíber-ataques y más en concreto a quienes los realizan. Éstos son denominados cíber-activistas, posiblemente, en la búsqueda de similitud con los jóvenes de principios del siglo XX que viajaban a otros países para participar en guerras. Lo hacían únicamente por ideología, algo que, probablemente, terminó con la segunda guerra mundial.
Y es cierto que participan personas de todos los lugares. Cuando se geolocalizan las direcciones IP del ataque (los ataques actuales rara vez utilizan equipos zombies, por lo que suelen ser direcciones IP reales) se observa que muchos accesos provienen de lugares que nada tienen que ver con el problema que origina la protesta. Es decir, hay una cierta carga solidaria o ideológica similar a la de los jóvenes de principios del siglo XX.
Sin embargo, hay algo que falla en la denominación de cíber-activista. Si se da por buena la segunda reflexión, la de equiparar los cíber-ataques con los ataques a instalaciones reales, por reducción a lo absurdo habría que considerar activista (sin el prefijo cíber) a quien destruye mobiliario urbano o cristaleras de locales comerciales durante las manifestaciones. No tengo claro que la opinión pública esté tan de acuerdo con esto porque, probablemente, un ciber-activista es otra cosa.
Die endgültige
Internet y las redes sociales son en sí mismas una enorme oportunidad para igualar la potencia y capacidad de llegada del mensaje de las grandes corporaciones con el de las pequeñas asociaciones o incluso con el de las personas individuales, tanto en cantidad y calidad; Wikileaks es un claro ejemplo de ello. Pero mal vamos si se confunde esa potencia con la capacidad de realizar impunemente en el mundo cíber cosas que en el mundo real serían claramente punibles.
Enlaces relacionados:
› Seguridad TI: ¿hemos perdido la batalla?
› 8 lecciones de TI aprendidas con Wikileaks
www.tonsofit.com
* Nada de lo aquí expuesto juzga en modo alguno la razón -o su ausencia- para protestar contra medidas de empresas o instituciones que se consideren injustas. Lo único que analiza es si los cíber-medios para canalizar la protesta son adecuados.
