Ayer por la mañana, media España se levantó con el café a medio tomar y el router parpadeando en un rojo furioso que no auguraba nada bueno. Si trabajas desde casa o diriges una pequeña empresa, ya sabes de qué hablo: ese silencio sepulcral en la bandeja de entrada y la sensación de que, de repente, te han cortado el cordón umbilical con el mundo. Lo que al principio parecía el típico «se ha caído el nodo de la esquina» o un técnico que ha tocado lo que no debía en una centralita, resultó ser algo bastante más turbio. Movistar, o mejor dicho, Telefónica, estaba en el ojo del huracán, y no precisamente por un fallo fortuito de hardware.
La verdad es que, mientras muchos maldecíamos al servicio técnico, en los canales de Telegram de ciertos grupos de hackers el ambiente era de celebración. No fue una casualidad. La caída de los servicios de Movistar, que afectó especialmente a pequeñas y medianas empresas (las sufridas pymes), coincidió milimétricamente con una ofensiva coordinada de grupos prorrusos. Hablamos de nombres que ya empiezan a sonar demasiado en las redacciones de noticias: NoName057(16) y Server Killers. Estos tipos no se andan con chiquitas y han puesto a España en su diana particular. Pero, ¿qué ha pasado realmente y por qué nos debería importar más allá de no haber podido enviar cuatro correos ayer?
Para que nos entendamos, lo que vivimos ayer no fue un apagón total, sino más bien un estrangulamiento. Muchos usuarios reportaron que sus conexiones iban a pedales o que, directamente, ciertos servicios críticos para el negocio diario estaban inaccesibles. En el blog siempre decimos que la tecnología es maravillosa hasta que deja de serlo, y ayer fue uno de esos días. Lo curioso es que Movistar no fue el único plato en el menú de estos atacantes.
Resulta que instituciones públicas, ayuntamientos y servicios de transporte en diversos puntos de la geografía española también empezaron a notar que sus sistemas rateaban. La táctica es vieja, pero efectiva: el ataque de denegación de servicio o DDoS. Imagina que tienes una pequeña tienda de ultramarinos en el centro de Cartagena. De repente, mil personas que no tienen intención de comprar nada entran a la vez por la puerta, se quedan paradas en el pasillo y no dejan pasar a los clientes de verdad. Pues eso, pero con paquetes de datos inundando los servidores de Telefónica y de medio Estado español.
Ojo con esto, porque no es un ataque para robar tus fotos de las vacaciones o las claves del banco (al menos no directamente). El objetivo aquí es el colapso. Es una demostración de fuerza. «Podemos pararos cuando queramos», parecen decir. Y vaya si lo hicieron. La coincidencia temporal entre la caída de la red de Movistar y los mensajes de reivindicación de NoName057(16) en sus redes sociales es demasiado perfecta para ser ignorada. Estos grupos operan bajo una premisa de «hacktivismo» que, al final del día, no es más que ciberguerra de baja intensidad pero de alto impacto psicológico y económico.
¿Quiénes son NoName057(16) y por qué nos tienen manía?
Si no estás muy metido en el mundillo de la ciberseguridad, puede que el nombre de NoName057(16) te suene a contraseña genérica de router. Pero la realidad es que son uno de los grupos más activos y pesados del panorama actual. Surgieron poco después de que estallara el conflicto en Ucrania y su misión es clara: atacar a cualquier país que preste apoyo, ya sea militar o logístico, al gobierno de Zelenski. Y España, como bien sabemos, está en esa lista.
La verdad es que estos grupos funcionan de una manera casi empresarial. Tienen sus propios canales de comunicación, lanzan «campañas» y hasta tienen una especie de sistema de recompensas para quienes les ayuden a lanzar ataques desde sus propios ordenadores. Es lo que llaman el proyecto «DDosia». No son cuatro chavales en un garaje; es una estructura organizada que busca las cosquillas a las infraestructuras críticas de Occidente. Ayer le tocó a Movistar, pero hace unas semanas fueron los sistemas de transporte y antes de eso, páginas gubernamentales.
Lo que me escama de todo esto es la vulnerabilidad de las pymes. Telefónica tiene recursos de sobra para mitigar estos ataques (aunque a veces tarden más de lo que nos gustaría), pero una pequeña empresa que depende de su conexión para facturar o para gestionar pedidos se queda totalmente vendida. Si el gigante estornuda, el pequeño autónomo pilla una neumonía. Y eso es precisamente lo que buscan estos ataques: generar malestar social y pérdidas económicas que minen la moral del país.
La anatomía de un ataque DDoS: No es magia, es fuerza bruta
Vamos a ponernos un poco técnicos, pero sin pasarnos, que no quiero que nadie se me duerma. Un ataque DDoS (Distributed Denial of Service) es, básicamente, un matonismo digital. Los atacantes utilizan una red de ordenadores infectados (llamada botnet) repartidos por todo el mundo. Estos ordenadores, que pueden ser desde el PC de tu tía hasta una nevera inteligente mal configurada, reciben la orden de visitar una dirección IP específica al mismo tiempo.
Cuando los servidores de una operadora como Movistar reciben millones de peticiones por segundo, llega un punto en que no pueden distinguir cuáles son legítimas (tú intentando entrar en tu CRM) y cuáles son basura enviada por los hackers. El sistema se satura, los procesadores se ponen a mil y, finalmente, el servicio cae. Es como intentar llenar un vaso de agua con una manguera de bomberos: al final, el agua acaba por todas partes menos dentro del vaso.
Lo que hace que el ataque de ayer sea relevante es la escala. Atacar a una operadora de telecomunicaciones es subir de nivel. Ya no estás tirando la web del ayuntamiento de un pueblo perdido; estás tocando la columna vertebral de las comunicaciones de un país. Si mal no recuerdo, no es la primera vez que vemos intentos similares, pero la coordinación con los ataques a otras entidades españolas sugiere que estamos ante una campaña orquestada para testear nuestras defensas.
El papel de los «Server Killers»
Junto a NoName, aparecieron los Server Killers. Estos son menos conocidos por el gran público, pero igual de molestos. Suelen colaborar en estas campañas masivas para sumar potencia de fuego. La táctica de «enjambre» es lo que realmente pone en aprietos a los equipos de ciberseguridad. No es un solo frente; son múltiples ataques simultáneos desde diferentes direcciones y con diferentes técnicas. Es una pesadilla logística para cualquier departamento de IT, por muy grande que sea la empresa.
¿Por qué las pymes fueron las más afectadas?
Esta es la pregunta del millón. ¿Por qué el vecino de arriba podía ver Netflix y tú, en tu oficina, no podías ni abrir el correo? A menudo, las infraestructuras de red para empresas y particulares van por caminos ligeramente distintos, aunque compartan la misma fibra. Las configuraciones de seguridad para pymes a veces son más rígidas o pasan por nodos específicos que fueron el objetivo principal de los hackers.
Además, hay un factor psicológico. Atacar a las empresas duele más. Si no puedes ver una serie, te aguantas y te vas a dormir. Si no puedes trabajar, pierdes dinero. Y si miles de empresas pierden dinero a la vez, el impacto en el PIB y la sensación de inseguridad nacional se disparan. Los grupos prorrusos saben perfectamente dónde golpear para que el grito se oiga más fuerte. Para que nos entendamos: no buscan destruir datos, buscan destruir la normalidad.
En España, el tejido empresarial está formado mayoritariamente por pymes. Somos un país de pequeños negocios. Eso nos hace ágiles en muchas cosas, pero también nos convierte en un blanco fácil y muy jugoso para este tipo de ataques de denegación de servicio. La dependencia de un solo proveedor, por muy grande que sea como Movistar, tiene estos riesgos. Cuando el gigante tropieza, todos los que vamos agarrados a su chaqueta nos caemos al suelo.
La respuesta de Telefónica y el silencio administrativo
Como suele pasar en estos casos, la comunicación oficial fue… digamos que escueta. «Problemas técnicos», «incidencia en el servicio», «estamos trabajando en ello». Ya conocemos el guion. Es comprensible que una empresa cotizada no quiera salir a decir «nos están machacando unos hackers rusos» a la primera de cambio, pero la falta de transparencia a veces desespera más que la propia caída del servicio.
La verdad es que los equipos de seguridad de Telefónica son de los mejores de Europa. Tienen centros de operaciones (SOC) que parecen salidos de una película de ciencia ficción. Pero incluso con toda esa tecnología, mitigar un ataque DDoS masivo y distribuido lleva tiempo. Hay que identificar los patrones de tráfico malicioso, filtrarlos y redirigir el tráfico legítimo sin cargar otros nodos. Es un juego del gato y el ratón que se juega en milisegundos.
Mientras tanto, en las redes sociales, la cuenta de soporte de Movistar echaba humo. Es curioso ver cómo hemos pasado de llamar por teléfono a quejarnos en X (antes Twitter) como primera opción. Al final del día, el servicio se fue restableciendo poco a poco, pero el daño ya estaba hecho. Miles de horas de trabajo perdidas y una pregunta flotando en el aire: ¿estamos preparados para lo que viene?
Geopolítica de barra de bar: ¿Por qué España ahora?
A ver, no hace falta ser un experto en relaciones internacionales para atar cabos. España ha incrementado su perfil en el apoyo a Ucrania recientemente. Ya sea con el envío de material, el entrenamiento de tropas o el apoyo político en Bruselas, nos hemos posicionado claramente. Y en el mundo digital, las acciones tienen consecuencias casi instantáneas.
Estos ataques suelen coincidir con eventos clave. Una cumbre internacional, un anuncio de envío de tanques o, simplemente, un día en el que los hackers deciden que España necesita un «recordatorio». No es casualidad que otros países de la OTAN hayan sufrido ataques similares en las mismas fechas. Es una forma de guerra híbrida donde no se disparan balas, pero se bloquean economías.
Lo que me resulta fascinante (y un poco aterrador) es cómo un conflicto que ocurre a miles de kilómetros de distancia, en las llanuras de Ucrania, acaba afectando a una gestoría en una calle cualquiera de Cartagena. La globalización no era solo que pudieras comprar mangos en invierno; era también que la guerra de otros pudiera apagar tu router.
¿Cómo protegernos ante la próxima caída?
Llegados a este punto, te estarás preguntando si hay algo que puedas hacer tú, como usuario o dueño de un pequeño negocio, para que la próxima vez no te pille con el pie cambiado. La respuesta corta es que contra un ataque masivo a tu proveedor de internet poco puedes hacer, pero sí puedes tener un plan B.
- Tener una conexión de respaldo: No hace falta que contrates otra línea de fibra. Hoy en día, un buen router 4G/5G con una tarjeta de otra compañía puede salvarte el día. Si Movistar cae, cambias a la red de Orange o Vodafone y, al menos, puedes seguir enviando correos básicos.
- Uso de VPN profesionales: Aunque a veces pueden ralentizar un poco la conexión, algunas VPN tienen sistemas de protección contra ataques que pueden ayudar a filtrar parte del ruido, aunque si el nodo de tu proveedor está caído, la VPN no hará milagros.
- La nube no es infalible: Si todo tu trabajo depende de estar conectado al 100%, asegúrate de tener copias locales de los documentos más críticos. Trabajar en modo offline y sincronizar cuando vuelva la red debería ser el ABC de cualquier profesional.
- Ciberseguridad básica: Aunque el ataque de ayer fue externo, muchos de estos grupos usan ordenadores de gente normal para sus botnets. Mantener tu equipo actualizado y con un buen antivirus ayuda a que tu ordenador no sea un «zombie» que ataque a otros sin que tú lo sepas.
Vaya, que no se trata de volverse paranoico y empezar a construir un búnker digital, sino de entender que internet es una infraestructura crítica y, como tal, puede fallar o ser atacada. La resiliencia es la palabra de moda, y en este caso, significa tener alternativas.
El papel de la Inteligencia Artificial en esta nueva guerra
Y aquí es donde la cosa se pone interesante. Ya no estamos solo ante ataques manuales. La Inteligencia Artificial está empezando a jugar un papel fundamental tanto en el ataque como en la defensa. Los hackers usan algoritmos para encontrar vulnerabilidades de forma automática y para variar los patrones de los ataques DDoS, haciendo que sean mucho más difíciles de detectar por los filtros tradicionales.
Por otro lado, las empresas de telecomunicaciones españolas están integrando IA en sus sistemas de defensa para predecir estos ataques antes de que alcancen su pico máximo. Es una carrera armamentística digital. La IA puede analizar el tráfico de red en tiempo real y detectar anomalías que a un humano le pasarían desapercibidas. La verdad es que, sin la ayuda de estos sistemas automatizados, la caída de ayer podría haber durado días en lugar de horas.
En el futuro, veremos ataques mucho más sofisticados y personalizados. Ya no será solo inundar un servidor con basura, sino engañar a los sistemas de seguridad para que se bloqueen a sí mismos. Es un escenario complejo, pero es el que nos ha tocado vivir. La tecnología avanza, y los que quieren usarla para el mal, también.
Reflexiones tras el apagón
Al final del día, lo que nos queda es la sensación de fragilidad. Dependemos de unos hilos invisibles de cristal y luz que cruzan nuestras ciudades y océanos. Cuando esos hilos se tensan o alguien intenta cortarlos, nuestra vida moderna se detiene en seco. La caída de Movistar no fue solo un problema técnico; fue un síntoma de los tiempos que corren, donde la política y la tecnología están más entrelazadas que nunca.
Para que nos entendamos, lo de ayer fue un aviso a navegantes. España está en el mapa de la ciberguerra y no parece que vayamos a salir de él pronto. Los grupos como NoName057(16) seguirán intentándolo, buscando ese titular, ese caos momentáneo y esa palmadita en la espalda de sus patrocinadores. Nosotros, mientras tanto, seguiremos aquí, intentando que el router no parpadee en rojo y esperando que, la próxima vez, el café no se nos quede frío mientras esperamos a que vuelva la conexión.
La conclusión que saco de todo esto es que la ciberseguridad ya no es algo que solo deba preocupar a los señores con corbata en los despachos de la Castellana. Es algo que nos afecta a todos, desde el que tiene una tienda de regalos en Cartagena hasta el que teletrabaja desde un pueblo de la sierra. Estar informados y tener un plan de contingencia es lo único que nos separa de quedarnos totalmente a oscuras en este mundo hiperconectado. Y ojo, que esto no ha hecho más que empezar.
La próxima vez que internet te vaya lento, antes de reiniciar el router por quinta vez, echa un vistazo a las noticias. Quizás no sea tu equipo; quizás sea alguien al otro lado del continente intentando demostrar que, en la red, nadie está realmente a salvo. Pero bueno, no nos pongamos dramáticos, que al final la red volvió y aquí estamos, escribiendo y leyendo, que no es poco.
Deja una respuesta