Las asignaturas de primer año en las universidades suelen ser meramente introductorias y algunos estudiantes, ansiosos de conocimiento, esperan impacientes a llegar a las optativas.
A Paras Jha, estudiante en Rutgers, la Universidad Estatal de Nueva Jersey, no le gustaba mucho la idea de no poder cursar asignaturas de último año al comenzar su carrera y decidió cerrar la web para inscribirse porque, si él no podía hacerlo, nadie lo haría. Más tarde, crearía Mirai, una red de bots, que se convirtió en una herramienta de piratería bastante peligrosa.
Los ataques DDoS
El 19 de noviembre de 2014, por la noche, empezaba el periodo de inscripción para que los estudiantes en Rutgers. Paras aprovechó esta fecha para lanzar su primer ataque distribuido de denegación de servicio (DDoS), para dificultar el acceso a la web de la universidad. Para ello, el joven tuvo que utilizar un ejército de bots de unas 40.000 unidades, procedentes mayoritariamente de Europa del Este y China.
En concreto, los bots se liberaron en el servidor central de autenticación de Rutgers, enviando miles de solicitudes falsas para sobrecargarlo y que la web se viese afectada. Como a Paras le fue bien en su primer intento, quiso volverlo a hacer, aunque esta vez decidió avisar antes. El 4 de marzo de 2015, durante el segundo semestre, escribió un correo electrónico a The Daily Targum, periódico del campus:
“Hace un tiempo, escribisteis un artículo que hablaba sobre los ataques DDoS en Rutgers. Soy el que atacó la red… Volveré a atacar la red una vez más a las 8:15 PM”.
El estudiante cumplió con sus palabras y, exactamente a la hora mencionada, desconectó la red de la universidad.
Más adelante, el 27 de marzo, lanzó otro ataque. En este caso, duró cuatro días, por lo que la vida en el campus se paró. Los 50.000 estudiantes, profesores y personal no tenían acceso a los ordenadores. Paras llegó a reírse de su actuación: «Esta es la tercera vez que lanzo ataques DDoS contra Rutgers y, cada vez, la infraestructura se derrumbó como una lata bajo el talón de mi bota».
Rutgers tomó cartas en el asunto
Tras tantos ataques, la universidad contrató los servicios de Incapsula, una pequeña empresa de ciberseguridad con sede en Massachusetts, para que resolviese el problema con el ciberatacante. Pero lejos de parar, Paras acusó a Rutgers de escoger la compañía más barata: «Solo para mostrarle la mala calidad de la red de Incapsula, he seguido adelante y diezmé la red de Rutgers, con la esperanza de que elija otro proveedor que sepa lo que está haciendo».
Su cuarto ataque tenía como objetivo que la universidad escogiese ProTraf Solutions, que era su propio servicio de migración de DDoS, en vez de Incapsula.
La historia de Paras
Antes de estudiar en Rutgers, Paras mostró síntomas de tener trastorno por déficit de atención e hiperactividad y, aunque su maestro se lo comunicó a sus padres, estos no actuaron. Conforme pasaba el tiempo, nuestro protagonista comenzó a tener más dificultades, pero sus padres y profesores coincidían en considerarlo un joven inteligente.
A una edad muy temprana, comenzó a interesarse por los ordenadores y, con solo 12 años, aprendió a codificar de forma autodidacta. Sus padres, al ver su interés, le compraron una computadora y contrataron un servicio a Internet sin restricciones.
Paras descubrió el juego online Minecraft y, con el tiempo, pasó de jugar a hospedar servidores. Fue ahí cuando conoció la existencia de los ataques DDoS, ya que los administradores de servidores del juego suelen contratar dichos servicios para eliminar a otros admins.
El estudiante se aisló poco a poco de su entorno en el mundo real y se centró en aprender a mitigar los ataques DDoS. Le fue tan bien con ello, que creó su propia empresa ProTraf Solutions.
En este tiempo, hizo dos amigos hackers, Josiah White y Dalton Norman, con los que posteriormente acordaría crear una gran red de bots para DDoS.
El uso de botnets entre hackers
El año 2000 fue especialmente señalado para los botnet: en febrero, el pirata informático MafiaBoy borró fifa.com, amazon.com, Dell, e-TRADE, eBay, CNN y Yahoo (posteriormente se supo que MafiaBoy tenía tan solo 15 años).
Volviendo a Rutgers, Paras terminó marchándose en su segunda carrera y sin lograr que la universidad cambiase Incapsula por ProTraf. Fue entonces cuando Josiah White, uno de sus colegas hackers, comenzó a trabajar con Paras para mejorar el malware y construir una botnet DDoS más poderosa.
A ellos se uniría Dalton Norman. En ese periodo, Paras y sus compañeros desarrollaron un nuevo botnet, todavía más impresionante: Mirai, en honor a la serie de anime Mirai Nikki. El troyano logró infectar a 65.000 dispositivos en sus primeras 20 horas activo, duplicando su tamaño cada 76 minutos.
El FBI tardó en detectar la existencia del malware porque estaban ocupados investigando el grupo de ciberdelincuentes VDoS. Cuando lo hicieron, el proceso para hallar la ubicación de la banda fue complicado, puesto que White había hackeado el ordenador de la casa de un adolescente en Francia para ponerlo como «nodo de salidaW.
Las autoridades localizaron esa computadora y coincidió que el propietario de la vivienda era fanático del anime. Las piezas del puzle parecían encajar, sin embargo, el FBI y la policía francesa descubrieron que no era uno de los implicados después del allanamiento.
Mirai para el público
Paras disfrutó de Mirai durante dos veces para, después, publicar casi todo el código fuente en Hack Forums. Eso permitió que cualquiera pudiese construir su propia versión. Con ello, Paras quería despistar al FBI que estaba muy cerca de descubrirlo.
El botnet se llegó a usar para colapsar el proveedor de servicios de Internet más grande de Alemania o atacar servidores del Sistema de Nombres de Dominio de Dyn. Dicho tipo de malware fue capaz de dejar la red inoperativa para millones de personas.
Finalmente, el trío que había comenzado sus andanzas de adolescentes reconoció los delitos de los que le acusaban en septiembre de 2018. Paras había quebrantado la Ley de Abuso y Fraude Informático en sus ataques a Rutgers y con Mirai en Alaska, por lo que se enfrenta a 10 años de prisión. Sus compañeros solo fueron acusados por lo de Alaska y fueron condenados a 5 años.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.