En julio de 2023, el sitio web Archive of Our Own (AO3) recibió múltiples ataques de denegación de servicio distribuido (DDoS). Los ataques DDoS sobrecargan un sitio y lo inundan con tráfico de Internet, y esto impide que los visitantes legítimos usen el sitio.
El sitio, fundado en 2007 por Organization for Transformative Works (OTW) como lugar para fanfiction e iniciativas creativas relacionadas, estuvo sin conexión por un total de 28 horas.
El presidente del Comité de Sistemas de OTW advirtió que el ataque DDoS a la capa 7 comenzó como algo pequeño, mediante abusos de puntos finales. Su equipo de voluntarios utilizó las herramientas que tenía disponibles para luchar contra el ataque, pero finalmente sus servidores terminaron procesando aproximadamente 1,5 millones de solicitudes por segundo. En algún momento, los servidores de la aplicación generaban aproximadamente 6 Gbps de tráfico saliente, y el centro de datos de la organización informó que estaba recibiendo 1.2 Tbps de tráfico de capa 3.
El grupo de hackers Anonymous Sudan se adjudicó (aunque sin pruebas) el lanzamiento del ataque, y también exigió un rescate.
Para protegerse de los ataques y reanudar las operaciones, OTW se unió a Project Galileo, que ofrece servicios gratuitos de nivel comercial para grupos que trabajan en el ámbito de las artes, los derechos humanos, la sociedad civil, el periodismo y la democracia.
En OTW, el Comité de Sistemas gestiona iniciativas relacionadas con servidores, equipos de redes, proxies inversos, equilibrio de carga y clústers de bases de datos. Este grupo, dirigido por el presidente de sistemas de OTW, sigue las tendencias de la industria para estar a la vanguardia de las vulnerabilidades y las revisiones correspondientes.
El presidente de sistemas explica que si bien los voluntarios son expertos en tecnología, “como organización voluntaria no contamos con los mismos recursos que las organizaciones con fines de lucro. No tenemos equipos de enrutamiento de 100-gigabits, grandes dispositivos WAF, múltiples puntos de presencia u otras técnicas que nos ayuden con los ataques a gran escala”.
Y con miles de millones de visitas a las páginas por mes, tenemos además la presión de garantizar un acceso confiable a los trabajos creativos de AO3. “Nuestros proyectos son todos en línea y si no hay conexión, nosotros no podemos lograr nuestro propósito”. Los equipos voluntarios de OTW también dependen de herramientas que se ejecutan a través de la infraestructura del servidor.
Lo resume de esta manera: “Es fundamental que tengamos medidas para proteger nuestros servidores y aplicaciones de los ataques, no solo para proteger nuestros datos sino también para continuar brindando servicios a la comunidad fandom”.
A las tres horas de implementar Project Galileo, OTW fue aceptado en el proyecto, configuró sus servidores de nombre en Cloudflare y pudo tener el sitio AO3 nuevamente con conexión. Según el presidente de sistemas, “el impacto fue inmediato”.
Él y su equipo ajustaron rápidamente su infraestructura y actualizaron su firewall de aplicaciones web y las configuraciones de almacenaje en caché. Informa que aproximadamente en las primeras 10 horas del cambio de nivel de servicio de OTW, Cloudflare mitigó 7 mil millones de solicitudes abusivas.
Los atacantes no solo querían dejar el sitio sin conexión, sino que poco tiempo después de reforzar sus defensas, la organización recibió ataques más grandes.
El presidente de sistemas comentó: “El momento más impresionante fue casi un mes más tarde cuando recibimos el mayor ataque que habíamos visto, que alcanzó un pico de 65 millones de solicitudes por segundo. No hubiéramos podido protegernos solos contra ese tipo de ataque”.
Además de evitar ataques DDoS devastadores en el futuro, el Comité de Sistemas espera evitar que terceros extraigan datos del sitio web, y ya han implementado la gestión de bots para evitar los bots maliciosos y al mismo tiempo permitir que los bots beneficiosos se puedan usar para investigación y otros fines. Como explica el presidente de sistemas: “Los trabajos de nuestros usuarios son bastante populares y siempre están aquellos que tratan de monetizarlos de varias maneras. La gestión de bots de Cloudflare nos permite elegir qué categorías de bots bloqueamos o permitimos”.
Parte de lo que diferencia a AO3 de otros archivos en línea es que es administrado por una organización sin fines de lucro y tiene una junta elegida por los fans, una estructura que tiene como objetivo brindar al sitio una estabilidad a largo plazo. El Archivo, que contiene millones de trabajos de miles de fandoms, fue creado en su totalidad por fans, muchos de los cuales aprendieron habilidades como codificación y diseño de sus trabajos en proyectos de código abierto. El sitio no tiene anuncios publicitarios ni cobra a los usuarios para publicar o ver fanworks , sino que depende de donaciones.
Una de las otras iniciativas de OTW es el Legal Advocacy Project, que protege y defiende los fanworks de la explotación comercial y de las complejidades legales, que incluyen el archivo de amicus briefs y el envío de comentarios a los cuerpos legislativos en EE. UU. y en todo el mundo. En 2023, el comité legal del grupo se opuso públicamente a varios proyectos de ley propuestos por el Congreso de EE. UU. y resaltó las posibles consecuencias para Internet.
(Datos de marzo de 2024)