Estos últimos tres meses realmente estuvieron ajetreados a causa de un proyecto que tuvo un final feliz: por primera vez desde que se publican los datos, las páginas Web del IFE siempre estuvieron disponibles durante las elecciones.

Definitivamente no fue sencillo, hubo mucha gente involucrada y costó días de mal dormir, medio comer, estrés y sufrir con las lluvias, pero valió la pena el esfuerzo. Sin compartir detalles, puedo mencionar que sí se recibieron ataques de autores desconocidos (por lo general no se sabe quien perpetra este tipo de ataques), algunos de una magnitud que superó nuestras expectativas de acuerdo con las tendencias dictadas para Latinoamérica, en términos de volumen o persistencia. Me gustaría compartir con el lector algunas de las lecciones y experiencias vividas en esta jornada:

  • Primero que nada, es importante conocer qué se quiere cuidar cuando de protección contra denegación de servicio (DoS/DDoS) se trata. No puedes cuidar lo que no conoces y, en este servicio en particular, resulta determinante conocer lo que se está protegiendo para evitar ser parte involuntaria del ataque al tirar tráfico válido.

Hay que entender la arquitectura en la que se implementará la solución de protección. Un mal diseño de la protección puede no ser eficaz a la hora de brindar protección; se requiere comprender bien las interacciones de la gente y los equipos de red, aplicaciones y gestión (balanceadores, modeladores, etcétera).

  • Es muy difícil determinar qué información es veraz y qué información no lo es. La desinformación está a la orden del día, lo que nos mantuvo alerta para siempre poder reaccionar y estar en un formato “cero errores”.
  • La protección contra ataques DoS/DDoS ofrece retos muy interesantes en cuanto a la gestión y reacción ante algún incidente. Hay ataques que pueden durar dos minutos y cesar, por lo que la protección debe ser inmediata y contundente.
  • Es muy complicado determinar cuando un tráfico válido sí lo es, de aquí la importancia de conocer los alcances, capacidades y activos que se están protegiendo. El análisis de lo que sucede en el entorno es vital y debe ser exacto para evitar cualquiera de estos dos escenarios:
    • Que parte del tráfico indeseado pase, impactando negativamente al servicio (ataque DoS/DDoS consumado).
    • Que se tire tráfico legítimo, impactando negativamente al servicio (ataque DoS/DDoS consumado por la propia mitigación).
  • Si una organización no cuenta con protección para contener ataques de denegación de servicio, no tendrá capacidad de reacción cuando suceda un ataque que siempre está latente ya que proviene del salvaje Internet (comúnmente llamado en inglés “traffic in the wild”).
  • Considero que uno de los mayores retos es replantear los niveles de servicio. La indisponibilidad ante cualquier evento es binaria: estás disponible o no lo estás. Ante una indisponibilidad, determinar si es producto de un ataque o un tema de capacidad incrementa la complejidad de la gestión y provisión del servicio, por lo que los SLA (Service Level Agreement) deben ser muy bien estudiados.
  • Muchas herramientas “dicen” ser capaces de contener o prevenir ataques de denegación de servicio, pero la realidad es que hoy solo conozco una que realiza esta función de manera integral.

Y no digo que las otras herramientas no sirvan. Simplemente es segregar que unas herramientas cubren disponibilidad, otras se enfocan a la confidencialidad o la integridad pero solo una desde la nube puede prevenir que el enlace a Internet sea saturado.

  • No importa cuánto se invierta en tecnologías especializadas, sin un equipo de trabajo capacitado, responsable y comprometido, proyectos como estos no salen adelante. La mejor de las recompensas es cuando volteas hacia atrás y piensas en todo lo que se planeó para setenta y dos horas intensas.

Ahora que el reto ha pasado no hemos bajado la guardia ni la bajaremos. Al contrario, lo que sigue es fortalecernos con el conocimiento adquirido para poder replicar este caso de éxito, conscientes de que esta protección puede efectivamente ser replicada (y que ya ha sido probado) en otros frentes.

[email protected]