Cuando se caen servicios de Amazon Web Services, el gigante de la nube
Esta semana los colombianos constataron, algunos con desesperación, la caída de los servicios financieros más usados del país: Nequi y Mi Bancolombia. Como lo explica un artículo de InfoBae “Nequi y Bancolombia explicaron las fallas en todas sus plataformas: no sirven ni los cajeros automáticos – La interrupción de los servicios de las dos plataformas financieras ha puesto de manifiesto los riesgos operativos asociados a la creciente dependencia de la digitalización bancaria en el país”.
Pero el problema no fue directamente del sistema de Bancolombia sino de una parte de la infraestructura de Amazon Web Services (AWS) que es la plataforma de servicios en la nube más grande del mundo y la que aloja los servicios de Bancolombia y Nequi como lo explica este artículo del Espectador. Aloja millones de servidores, para gobiernos y empresas privadas, incluyendo cientos de bancos como Bancolombia o Davivienda. Según el comunicado de Amazon estos fallos se debieron a errores en las resoluciones de dominio para el servicio de base de datos (llamado DynamoDB) que usa Amazon. Y sorprendentemente, esto fue causado por fallos en un sistema automatizado de verificación de errores (health check failures) pero no vamos a entrar en detalles muy técnicos. Lo importante para lo que sigue es que estos fallos afectaron la zona de Northern Virginia (US-EAST-1) de la infraestructura de Amazon.
Para volver a Bancolombia, en su informe de gestión 2024, la empresa justifica la migración de 43 de sus aplicaciones a la nube de Amazon (AWS) para “acelerar la transformación digital, optimizar costos, y mejorar la disponibilidad y seguridad de nuestros sistemas”:
Sin embargo esta semana la disponibilidad de los sistemas se esfumó y la hiper centralización y la dependencia con un solo proveedor empezó a generar preguntas. Descubrimos que miles de servicios vitales que usamos dependen de cinco multinacionales estadounidenses. En términos de gestión de riesgos sabemos que, así sea poco probable que se caigan accidentalmente o se corten intencionalmente los servicios de un gigante como Amazon, si esto ocurre y que si la dependencia es total, el impacto es inmenso.
El mundo ha cambiado, por eso, hoy al preguntarse qué significa decir que tengo 10 millones de pesos colombianos en una cuenta bancaria, la respuesta es que en alguna parte del mundo, en una base de datos de un servidor informático (ojalá en varios), hay una línea que asocia estos 10 millones con mi cuenta y mi identidad, nada más. Si desaparece esta línea, desaparecen esos 10 millones.
Un país depende en gran parte de su economía y de la misma manera que se habla de soberanía estatal, se tiene que hablar de soberanía financiera y ella implica un cierto grado de autonomía digital.
Volviendo a Bancolombia ¿A dónde se conecta la aplicación?
¿Cómo resolvió parcialmente este problema Bancolombia? No lo sabemos. Pero este viernes 24 de octubre, hubo una actualización de la aplicación:
Y en la tarde parecía funcionar, aunque oímos que seguía fallando por momentos. Pero a ver: ¿Cómo funciona esta app? ¿Con quién se comunica? ¿Sigue dependiendo de Amazon?
Un investigador es curioso por naturaleza y en el Laboratorio de seguridad digital y privacidad de Karisma (el K+Lab) quisimos averiguar esto, aún sabiendo que las aplicaciones bancarias son más complejas de analizar, por su seguridad.
Entonces fuimos despacio y miramos, de manera pasiva y con una metodología no intrusiva, el tráfico de red generado por la aplicación. Es decir, analizamos a dónde se van los datos que envía la aplicación y de donde provienen los que recibe. Nada más. Ningún servicio fue hackeado en este análisis. Encendimos la aplicación Bancolombia, hicimos un pago hacia una cuenta Nequi y miramos con quién hablaba la app de Bancolombia. Repetimos la experiencia.Lo hicimos usando una aplicación relativamente fácil de usar y de código abierto que se llama PCAPDroid, sin intentar descifrar el tráfico, sólo mirando desde el exterior a donde se conectaba la aplicación. El resultado nos dió algo así (aquí aparece sólo una pequeña parte del tráfico):
Este análisis ya nos permitió encontrar que la aplicación se comunica con dominios como “canalpersonas-ext.apps.bancolombia.com” o “fflags.apps.bancolombia.com”. Esto todavía no nos dice en dónde se alojan los servidores o a qué compañía pertenecen. Aunque uno de ellos nos llamó la atención: “bancolombia-prod.es.us-east-1.aws.found.io”. Aquí, ya encontramos el “aws” que corresponde probablemente a Amazon Web Services e incluso el “us-east-1”, que según el comunicado de Amazon es la parte de su infraestructura que se vio afectada.
Pero sigamos buscando un poco más a través los registros públicos de dominios (DNS) y de direcciones IP para:
- Determinar las IP que corresponden a estos dominios. Esto se puede hacer con el servicio web DNS Checker o con el comando Linux host, por ejemplo.
- Determinar donde se alojan los servidores que tienen estas IP. Esto se puede hacer con el servicio web de LACNIC (Latin American and Caribbean Internet Addresses Registry) o con el comando Linux whois, por ejemplo.
Así pudimos encontrar buena parte de la información, pero para que se vea amigable, quisimos transformarla en un mapa, usando nuestro servidor Colander. Este fue el resultado:
El gráfico muestra las URL a las cuáles se conecta la aplicación Bancolombia e identifica las empresas que alojan los servidores correspondientes. Esta información es extraída del archivo de captura de tráfico generado por el programa PCAPDroid. Efectivamente se puede observar que:
- 4 de las 8 URL corresponden a servidores alojados en Amazon. Para una de ellas, tanto la URL como el resultado del whois en la IP muestran que corresponden a la zona Northern Virginia (US-EAST-1) que fue la afectada por los fallos técnicos.
- Dos corresponden a servidores alojados en Incapsula/Imperva que pertenece hoy al grupo de defensa francés Thales en su rama que provee soluciones de ciberseguridad en la nube.
- Uno pertenece a la multinacional Microsoft.
- La última es un subdominio de Google (“firebaselogging-pa.googleapis.com”) que corresponde a un servicio de telemetría de productos.
En conclusión, el análisis muestra que de los servidores a los cuales se conecta la aplicación Bancolombia, todos pertenecen a cuatro multinacionales tecnológicas de los gigantes estadounidenses Google, Microsoft y Amazon. La mitad de las URL corresponden a servidores alojados en Amazon y al menos una de ella se ubica en la parte de la infraestructura que fue afectada entre el 19 y el 20 de octubre.
Acompáñanos en @Karisma en X, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Caída de Mi Bancolombia y Nequi: lecciones para pensar la autonomía digital.
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co