Libertad de información
La deficiente respuesta de las operadoras de telecomunicaciones en caso de ciberataque

La falta de una atención ágil y adecuada por parte de las multinacionales ralentiza los procesos para hacer frente a este tipo de abusos y dificulta el acceso a la información relevante antes de que expire el tiempo legal máximo para obtenerla.
 Edificio Telefónica en Madrid. FRED ROMERO / Licencia CC BY 2.0
Edificio Telefónica en Madrid. FRED ROMERO / Licencia CC BY 2.0

@ann_vgs, La Marea

18 dic 2021 06:00

El análisis del ciberataque DDoS que sufrieron el pasado noviembre las páginas web de La Marea, El Salto, AraInfo y KaosEnLaRed realizado por su proveedor de servicios, Nodo50, reveló que en él participaron 27.000 IPs a lo largo de 116 horas. Parte de esas IPs pertenecía a las operadoras españolas Vodafone, Orange, Telefónica-Movistar, Arsys, Aire Networks y Adamo. Por ello, desde Nodo50, La Marea y El Salto se puso en conocimiento de dichas empresas lo ocurrido.

En un primer correo electrónico, enviado el 26 de noviembre, se informó a los respectivos departamentos de ciberabusos de las empresas mencionadas de cuáles eran sus IPs implicadas en el ciberataque y se les solicitó que conservaran toda la información posible sobre las mismas. Previamente, este se había comunicado ante las autoridades —mediante una denuncia tramitada ante la policía y un correo dirigido al Instituto Nacional de Ciberseguridad (INCIBE)—.

Tres días después de esta primera comunicación, al no haber recibido respuesta de ninguna de las operadoras, Nodo50 y los dos medios independientes reenviaron la notificación del ciberataque. Tras insistir, el 29 de noviembre, respondió Nemesys Abuse Team —el departamento para ciberdelitos de Telefónica-Movistar— indicando lo siguiente: “Siguiendo nuestro protocolo de actuación, se informó al usuario de la dirección IP implicada en los hechos, recomendándole que tomara todas las medidas necesarias para revisar sus equipos en busca de algún malware y/o alguna vulnerabilidad que pudieran ser responsables de los ataques”.

En el ataque a La Marea y El Salto participaron 27.000 IPs a lo largo de 116 horas. Parte de esas IPs pertenecía a las operadoras españolas Vodafone, Orange, Telefónica-Movistar, Arsys, Aire Networks y Adamo

Tras constatar que Telefónica-Movistar parecía asumir que no se había producido un ataque “consciente e intencionado” sino la infección de un equipo informático, desde Nodo50 contactaron de nuevo con la compañía el 2 de diciembre para confirmar si esta suposición partía de una investigación. También preguntaron si era posible conocer el protocolo de actuación en estos casos, así como si se suele hacer un seguimiento de los mismos. Un día después, Nemesys Abuse Team alegó en un correo electrónico que tienen el proceso de atención altamente automatizado y no dio respuesta al resto de cuestiones planteadas.

En el caso de Aire Networks, esta operadora contestó al correo el 2 de diciembre indicando que habían “informado” a su cliente “para que tome las medidas oportunas” y añadiendo “te mantenemos informado”. Ni Nemesys Abuse Team ni Aire Networks se han vuelto a pronunciar dos semanas después.

En el momento de la publicación de este artículo, Nodo50 seguía sin obtener respuesta por parte del resto de operadoras mencionadas, ni siquiera un mensaje automático de apertura de tickets [sistema de seguimiento de incidencias] o de confirmación de recepción del correo.

“Nos parece que no realizan ninguna investigación para saber si se trata de un dispositivo infectado —es decir, si su cliente no sabe que está participando en un ataque— o si está siendo usado por el responsable del ataque. En esa IP podría residir el software de comando y control de la botnet [red de equipos informáticos infectados con software malicioso que permite su control remoto], lo que podría ser una pista importante para localizar al autor”, explican con frustración desde Nodo50. “Nos da la impresión de que tiran por lo más fácil y que menos costes les supone: dar por hecho que es simplemente un dispositivo infectado o comprometido. Y además parece que le pasan la responsabilidad a su cliente al decirle que ‘tiene que revisar sus equipos’. Pero ¿hacen un seguimiento de que esa posible infección haya sido eliminada y el equipo ya no forma parte de la botnet?”, se preguntan.

‘Protocolo habitual’

Dos compañías, Telefónica-Movistar y Vodafone, sí ofrecieron más información a este medio tras contactar con ellas en calidad de periodistas para este reportaje, al igual que sucedió con Twitter. Telefónica-Movistar confirmó que habían contactado “con el cliente que tiene asignada la IP que figuraba entre las causantes del ataque (DDoS), informándole de que su IP estaba causando ataques a otras páginas, por lo que debía actuar para subsanar este problema”.

Ciberseguridad
Ciberseguridad Denunciar un ciberataque en Twitter: misión casi imposible
Hay tres muros que dificultan la denuncia por abuso a un usuario de Twitter: la burocracia interna, la dificultad de obtener datos fiables tras el perfil y el tiempo –además del dinero– que nos lleve hacerlo.

Telefónica-Movistar ha insistido en que este es el protocolo habitual y que “el problema está en los equipos de su propiedad (del atacante), no en equipamiento de Telefónica”, terminando su comunicación escrita subrayando que los ataques DDoS “no están causados por una única IP, sino por un número mayor (decenas, cientos e incluso miles) de IPs”. 

Por su parte, la respuesta de Vodafone ha sido similar, aunque en este caso la multinacional ha añadido la siguiente coletilla: “si entre el volumen de dispositivos infectados hay IPs de clientes de Vodafone, nuestra compañía no es responsable de las actividades que llevan a cabo esos clientes”. 

“Nos da la impresión de que tiran por lo más fácil y que menos costes les supone: dar por hecho que es simplemente un dispositivo infectado o comprometido. Y además parece que le pasan la responsabilidad a su cliente al decirle que ‘tiene que revisar sus equipos’", dicen desde Nodo50

“Echamos en falta ayuda e información desde las operadoras de nuestro país”, insiste Nodo50. En cambio, sí la ha recibido de un operador japonés de VPN [Virtual Private Network, una herramienta que permite ocultar una IP tras otra] que usó el atacante. “Después del primer momento, ha entendido la gravedad del caso y nos ha explicado los pasos a seguir para poder identificar los servidores usados por el atacante. También nos ha explicado que las autoridades españolas deben solicitarle los datos”, explican responsables de Nodo50. 

La obligación de atender al cliente

Los canales de denuncia que las operadoras ofrecen a sus usuarios no son obligatorios pero sí lo son los canales de atención al cliente. Sin embargo, en muchas ocasiones, las respuestas recibidas son mensajes estandarizados que terminan en el olvido.

La doctora en Derecho y Presidenta de la Asociación de Internautas, Ofelia Tejerina, recuerda que, tal y como figura en el Real Decreto-ley 12/2018, las operadoras españolas deben “resolver los incidentes de seguridad que les afecten, y solicitar ayuda especializada, incluida la del CSIRT de referencia [equipo de respuesta a incidentes de seguridad informática, por sus siglas en inglés], cuando no puedan resolver por sí mismos esos incidentes”. 

Esta experta aconseja que, además de una primera denuncia a la policía o el juzgado de guardia, el representante legal de un usuario particular que sufra un ciberataque puede solicitar medidas cautelares a las multinacionales para “conservar las evidencias electrónicas” como, por ejemplo, el rastro de comunicaciones de una IP sospechosa de un delito. Si, tras esta acción, la operadora no toma medidas para la conservación de la información relevante para el caso, “el juzgado puede determinar que hubo negligencia en el cuidado de las cosas y achacarle responsabilidades”, aclara la abogada.

Sí es cierto que debemos diferenciar entre evidencias electrónicas —datos no personales como la actividad desde una IP— y los datos personales. En el primer caso, no hay un plazo máximo de conservación sino que “deberán estar a disposición del juzgado hasta que el juez los solicite”, explica Tejerina. En lo referente a los datos personales del titular de la IP atacante, es vital que el juzgado los solicite dentro del plazo de dos años siguiendo la Ley 25/2007 de conservación de datos. Por ello, el tiempo es una cuestión clave en estas reclamaciones.

¿Y si la IP está fuera de nuestras fronteras?

Si la IP del ciberatacante pertenece a otro país, todo se complica; y más aún si este no forma parte de la Unión Europea. Al igual que en el caso de Twitter, será necesario solicitar una comisión rogatoria y, si el juez acepta, este mecanismo pondrá a las autoridades de ambos países en comunicación para que se pueda proveer la información necesaria sobre la titularidad de la IP.

Todo este proceso puede suponer costes adicionales como contratar los servicios de una traducción jurada para establecer el contacto con las autoridades extranjeras. Asimismo, será preciso que quien represente a la parte afectada analice la legislación del país correspondiente para verificar si el hecho denunciado está tipificado como tal. De no ser así, el procedimiento legal llegará a su fin. 

La cuestión es que, en la práctica, lo más probable que el ciberatacante no use una única IP —y menos si es real—, sino que emplee diferentes técnicas de enmascaramiento que ocultan esa identidad real tras miles de IPs falsas. En el caso del ciberataque a La Marea y El Salto, ambos alojados en el proveedor de servicios Nodo50, el ataque provino de unas 27.000 IPs que, de forma casi simultánea, saturaron el tráfico de las webs de ambos medios, impidiendo que los lectores y lectoras accedieran a la información publicada.

“Si la IP está enmascarada con una VPN, esa IP no aparecerá, sino que pondrá que me han atacado desde Israel, Ucrania o cualquier otro país, multiplicando las vías de investigación que debemos seguir y ralentizando más el proceso. En este caso, la IP que aparezca en los logs del servidor atacado —además de que va a haber muchas— muy probablemente ni siquiera sea la IP del atacante”, argumenta el jurista Víctor Salgado.

Por eso, es importante revisar otros indicios más allá de la IP. “Si logra haber un rastro que se pueda llegar a identificar, abriremos otra vía de investigación”. Salgado insiste en que esta opción no es remota. “A lo mejor (el atacante) ha guardado la información en una carpeta compilada que lleva su nombre de usuario, por ejemplo. En ese caso, un perito forense puede descompilarlo. Son como huellas dactilares que quedan ahí y de las que, a veces, los ciberdelincuentes no son conscientes”. 

Informar de un error
Es necesario tener cuenta y acceder a ella para poder hacer envíos. Regístrate. Entra en tu cuenta.

Relacionadas

Libertad de información
Libertad de información Julián Assange: “Me declaré culpable de haber hecho periodismo”
En su primera declaración pública tras salir de la cárcel, el fundador de WikiLeaks reivindica su contribución y señala que no se ha hecho justicia.
Libertad de prensa
Libertad de prensa Un centenar de periodistas piden la liberación de Pablo González ante el Consulado de Polonia
El periodista lleva más de dos años en prisión preventiva en Polonia, después de ser detenido cuando se dirigía a cubrir la crisis de refugiados en la frontera con Ucrania. A día de hoy se desconocen los cargos específicos contra su persona.
Libertad de información
Derechos y libertades Julian Assange sale de la cárcel tras declararse culpable de espionaje en un pacto con Estados Unidos
El fundador de Wikileaks vuela rumbo a Australia después de abandonar la prisión británica de Belmarsh. Assange se declara culpable de violar la Ley de Espionaje en el acuerdo que ha firmado con el Departamento de Justicia de Estados Unidos.
Valencia
Valencia Directo | Se eleva a 158 el número de personas fallecidas por la DANA
Minuto a minuto del segundo día tras la DANA que impactó en València el 29 de octubre. Un total de 155 personas han perdido la vida en la provincia de València y otras tres en Castilla La Mancha y en Andalucía.
Valencia
DANA De 28 unidades de bomberos forestales la Generalitat solo ha movilizado dos para paliar los efectos de la DANA
Desde CC OO denuncian la infrautilización de los equipos de emergencias, derivada de la descoordinación. Recuerdan que una de las primeras medidas de Mazón fue eliminar la unidad de emergencias que nació para coordinar estos servicios.
Opinión
DANA Crónica desde la distancia de un pueblo destrozado, el mío: Benetússer
Desde la distancia y desde la impotencia de ver y escuchar a tus seres queridos narrar cómo lo han perdido todo con la DANA en un pueblo de València.
Opinión
Opinión Qué hacer ante una catástrofe (todo lo contrario de lo que ha hecho Carlos Mazón)
La comunidad científica y la propia historia de València señalan que los fenómenos naturales extremos amenazaban con repetir tragedias como las que tuvieron lugar en el siglo XX. Es hora de señalar a los responsables políticos de la inacción.
Valencia
Apoyo mutuo ¿Qué hacer si quieres ayudar a las víctimas de la DANA desde València?
El tejido social valenciano crea varias iniciativas vecinales para hacer más eficiente y canalizar la solidaridad colectiva.

Últimas

Palabras contra el Abismo
Palabras contra el abismo Hazte socia de El Salto y te regalamos la primera novela de Sarah Babiker
La responsable de Migraciones y Antirracismo de El Salto ha escrito una novela donde gente corriente imagina escaramuzas frente a un presente en ruinas y reivindica otros futuros. Suscríbete y te la enviamos de regalo y dedicada por la autora.
Valencia
DANA Mazón: de presumir de acabar con el “chiringuito” de la Unidad de Emergencias a tener que dar explicaciones
El Gobierno valenciano de Vox y PP eliminó la UVE nada más entrar en el poder. Tanto por los desastres de la DANA como por el terrible incendio de un edificio en febrero la ciudadanía pide explicaciones.
Biodiversidad
Cumbre de Biodiversidad Enroque de las partes en la COP16 con apenas un día para su clausura
La XVI Conferencia de las Partes en el Convenio de las Naciones Unidas sobre la Diversidad Biológica encara su segunda semana con muchas dudas sobre la posibilidad de adoptar acuerdos efectivos para frenar la pérdida de especies y ecosistemas.
El Salto Radio
El Salto Radio Paraules de dona i exili
Repassem l’experiència de les principals autores de preguererra balears, catalanes i valencianes més enllà de la frontera.
Más noticias
Catalunya
Derecho a la vivienda Sindicat de Llogateres: “La regulación baja los precios, pero tiene una puerta para quien quiera saltársela”
Un nuevo estudio del Sindicato de Inquilinas de Catalunya constata la eficacia de los topes al alquiler, pero advierte del descontrol de los contratos de temporada y por habitaciones.

Recomendadas

Fronteras
Fronteras Cientos de personas refugiadas, incluidas menores, duermen al raso en la isla griega de Rodas
Organizaciones humanitarias denuncian que unas 350 personas refugiadas, algunas de ellas procedentes de Líbano, están durmiendo a la intemperie sin comida, sin agua, sin baños y sufriendo la violencia de las fuerzas de seguridad en Rodas.
Análisis
Análisis Mozambique: la democracia que Occidente prefiere olvidar
Cuando los intereses están mejor asegurados con un gobierno corrupto, las críticas al fraude electoral se limitan a una retórica superficial que no va más allá de gestos simbólicos.
Feminismos
Política De Nevenka al caso Errejón: cuando el feminismo exige de derecha a izquierda
Denunciar en comisaría, anónimamente, individual o colectivamente genera la misma reacción: odio contra las mujeres, independientemente del signo político donde ocurre la violencia.