1,34 millones de direcciones en 23 horas: Israel presuntamente intentó "exfiltrar" el archivo del periodismo árabe
Ataques distribuidos mediante proxies obligan a los medios independientes a tomar una decisión imposible
Millones de direcciones domésticas comunes en internet pueden parecer lectores reales, aunque detrás de ellas se oculte un raspador automático. Precisamente con ese problema se encontró el sitio Arab Reporters for Investigative Journalism cuando, en un solo día, empezaron a descargar masivamente su biblioteca de investigaciones a través de una red distribuida.
según Qurium, el 14 de mayo la versión en inglés de ARIJ experimentó un brusco aumento de tráfico automatizado. En magnitud, el evento fue 10 000 veces superior al nivel habitual de recolección de páginas. No se trató de una plataforma comercial, sino de una organización sin fines de lucro de Jordania que apoya el periodismo de investigación y la verificación de hechos en el mundo árabe.
Los especialistas de Qurium examinaron varios millones de líneas de registros de red y concluyeron que el ataque duró casi un día. En 23 horas el sitio recibió solicitudes desde 1,34 millones de direcciones IP únicas. El tráfico procedía de más de 7300 sistemas autónomos y afectó a 223 países y territorios. Además, el 76,44% de las direcciones se usaron solo una vez, lo que dificultaba su bloqueo.
Ese enfoque hace que la defensa sea casi inútil a nivel de direcciones individuales. Si se bloquean países enteros o redes de operadores, el sitio corre el riesgo de cortar a lectores reales. Si se limitan drásticamente las tasas de consulta, resultarán perjudicados usuarios de regiones donde el acceso a medios independientes ya es inestable.
Qurium considera que el esquema observado se parece al funcionamiento de un gran proveedor de servicios proxy, que emplea enormes grupos de direcciones de operadores y evita crear una carga apreciable en cada IP individual. Por señales de comportamiento, los especialistas vincularon el tráfico con un sistema identificado como NetNut, aunque no pudieron probar definitivamente la arquitectura interna de su infraestructura.
NetNut vende servicios de proxies residenciales para recopilar datos web y afirma tener acceso a grandes agrupaciones de direcciones IP en distintos países. La empresa está vinculada a Alarum Technologies, anteriormente conocida como Safe-T Group. Qurium destaca además la relación histórica entre NetNut y DiViNetworks, que trabajó con tecnologías de integración de operador y monetización del ancho de banda.
Según la hipótesis de Qurium, un sistema así puede operar a través de redes de operadores de modo que el tráfico externo pase por un canal controlado y luego salga a internet con direcciones del proveedor. Para el sitio afectado, esas solicitudes parecen proceder de abonados comunes, aunque en realidad las haya generado un cliente externo que pagó por el parseo de páginas.
Para comprobar la plausibilidad técnica de ese esquema, Qurium montó un modelo de laboratorio en un enrutador MikroTik. En él, las solicitudes web llegaban por un túnel y el enrutador sustituía la dirección de origen y emitía el tráfico hacia el exterior usando el espacio de direcciones del proveedor. La experiencia mostró que el comportamiento básico puede reproducirse con medios de red estándar, si bien operar de forma segura junto al tráfico de abonados reales requiere una configuración mucho más compleja.
El peligro principal de esa arquitectura no es solo la carga sobre los sitios. Si la monetización de la banda ancha por parte del operador funciona de forma similar, las direcciones IP de los abonados podrían utilizarse para acciones de las que los titulares de la conexión no saben nada. En el peor de los casos, un usuario común se convierte en la fuente visible de tráfico automático ajeno.
Qurium subraya que los buscadores y los proyectos de archivo legítimos suelen identificarse, publicar normas de funcionamiento, dejar un contacto y respetar las restricciones del sitio. Los raspadores opacos hacen lo contrario. Extraen valor de materiales de interés público, pero cargan a la propia redacción todos los gastos: pagar por el tráfico, procesar las solicitudes, mantener registros, vigilar la carga y reaccionar ante incidentes.
Según la estimación de Qurium, al menos el 25% del tráfico y de los costes computacionales de las organizaciones a las que presta servicio ya corresponde a raspadores y otros sistemas automatizados. En el caso de medios y proyectos de defensa de derechos, esa carga resulta especialmente dolorosa, porque sus recursos son limitados y no pueden cerrar el acceso a la audiencia real con filtros toscos.
La directora general de ARIJ, Ravan Damen, declaró que la investigación de Qurium ayudó a entender cómo podrían haberse recogido los datos y quién podría estar detrás de la operación; sin embargo, la atribución precisa y los motivos del presunto ataque por parte de la empresa israelí NetNut siguen siendo objeto de estudio.