Explicación sobre los recientes ataques DDoS y por qué no utilizamos a terceros para mitigarlos.

La protección contra ataques DDoS forma parte integral de nuestras prácticas de ingeniería y diseñamos nuestros sistemas de forma que se reduzcan al mínimo las superficies de ataque.

Tuta was attacked by multiple DDoS attacks.

En Tuta estamos construyendo una alternativa que da prioridad a la privacidad frente a las grandes ofertas tecnológicas, para que todo el mundo pueda proteger sus datos en línea enviando correos electrónicos cifrados y compartiendo eventos cifrados con Tuta Mail y Tuta Calendar. Esto pone nuestro servicio a la vanguardia de todo tipo de adversarios. Como consecuencia, Tuta está siendo atacada regularmente con ataques DDoS. Aunque la mayoría de las veces podemos rechazar estos ataques sin que usted se dé cuenta, los adversarios cambiaron sus vectores de ataque a principios de diciembre, lo que provocó varias caídas durante la primera semana de diciembre. Ahora hemos mejorado enormemente nuestros métodos de protección DDoS y nuestros sistemas son capaces de repeler estos ataques. Ahora nos gustaría explicar qué ocurrió y cómo mitigamos los ataques.


Por qué tenemos que mitigar los ataques nosotros mismos

Aunque cooperamos con socios para mitigar ataques centrados en el ancho de banda, como los ataques de reflexión a gran escala, lo hacemos de tal forma que mantenemos el control total de los datos de nuestros usuarios. Esto es diferente -y mucho más respetuoso con la privacidad- de lo que hacen la mayoría de nuestros competidores:

Mitigar los ataques DDoS es mucho más fácil si dejáramos que terceros descifraran e inspeccionaran nuestro tráfico en sus servidores en un llamado centro de depuración. Como alternativa, algunos de nuestros competidores introducen el tráfico descifrado en dispositivos de terceros de código cerrado (cajas negras). Pero ambos métodos implican perder el control sobre los datos de los clientes.

Para nosotros, en Tuta, esto no es una opción: Usted confía en nosotros para mantener la confidencialidad de sus datos, y por eso tenemos que defendernos de los ataques DDoS sin la ayuda de dispositivos de terceros. Estamos hablando de datos muy sensibles, como direcciones IP y tokens de acceso, que permitirían a un tercero suplantar la identidad de los usuarios e incluso borrar sus datos. También permitiría al tercero realizar un seguimiento de las asignaciones de direcciones IP a identificadores de usuario; en otras palabras: los terceros sabrían qué dirección IP pertenece a qué dirección de correo electrónico.

Por lo tanto, como en Tuta damos prioridad a tu privacidad en cualquier circunstancia, no es posible utilizar dispositivos de terceros.

Lo que ha ocurrido

En Tuta, mitigamos los ataques DDoS por nuestra cuenta para proteger al máximo los datos de nuestros usuarios. Pero mantener este alto nivel de confidencialidad y seguridad tiene un coste. Tenemos que mitigar los ataques DDoS por nuestra cuenta y también invertir cantidades sustanciales de nuestro tiempo de ingeniería disponible en la aplicación de mitigaciones contra los ataques DDoS. Nos atacan muy a menudo y, por lo general, nuestros usuarios no se dan cuenta de que nos han atacado, ya que mitigamos casi todos los ataques sin tiempo de inactividad.

Esto fue diferente a principios de diciembre. En total, sufrimos un tiempo de inactividad de 2,5 horas repartidas en cinco días. El tiempo de inactividad más largo fue de 80 minutos. Sentimos mucho estas molestias. Entendemos que esto no es aceptable, así que durante esos cinco días no sólo nos centramos en mitigar los ataques, sino también en mejorar nuestras medidas de mitigación.

Hemos descubierto que hace dos semanas se introdujo un error. Este fallo era la causa de que las medidas de mitigación automatizadas no funcionaran tan bien como antes y se solucionó de inmediato. También mejoramos drásticamente otras dos mitigaciones contra ataques DDoS de botnets a gran escala. Lo hicimos de forma que ahora detectamos y bloqueamos esas redes de bots en cuestión de segundos. De hecho, nosotros mismos ni siquiera nos dimos cuenta de las últimas oleadas de ataques a nuestros propios servidores, ya que las mitigaciones funcionaron tan bien que incluso la carga del servidor se mantuvo en un rango completamente normal. Esto también significa que ustedes -nuestros usuarios- tampoco notaron estos ataques. Así es como debe ser, ¡y estamos muy contentos por este logro!

Con todas estas mejoras, ahora contamos con muy buenas medidas y bloqueamos todo tipo de ataques, desde la reflexión volumétrica hasta los ataques distribuidos de botnets.

¿Significa eso que Tuta ya no es vulnerable a los ataques DDoS? Por desgracia, la respuesta es no. Queremos ser totalmente sinceros: Hacemos mucho no sólo para construir el servicio de correo electrónico y calendario más seguro con cifrado de seguridad cuántica, sino que también invertimos mucho en mantener una arquitectura de conocimiento cero y en ser propietarios de toda nuestra pila tecnológica. Porque al mantener el control total sobre nuestros servidores, nuestra infraestructura y el software que utilizamos, podemos proteger mejor tus datos y tu privacidad, incluida tu dirección IP. Como ya hemos explicado, esto hace que las cosas sean más difíciles para nosotros, pero la protección de datos mucho mejor para usted. Así que, aunque nuestros sistemas son ahora capaces de defenderse de todo tipo de ataques, siempre es posible que algún atacante invente nuevos vectores de ataque en el futuro.

Pero incluso si lo hacen, sabemos que somos capaces de mejorar nuestras mitigaciones de forma rápida y adecuada.

Un gran agradecimiento a la comunidad

En Tuta estamos muy agradecidos a nuestro excelente equipo que se encarga de mitigar esos ataques DDoS. Y estamos aún más agradecidos por nuestra excelente comunidad que se pega a nosotros e incluso lo dice en Reddit.

Como siempre, debemos decir: No estaríamos aquí sin vosotros y vuestro apoyo significa el mundo para nosotros. Combinado con vuestro apoyo, ¡saldremos de esta aún más fuertes que antes! 💪💪💪

❤️ ¡Muchas, muchas gracias! Si quieres mostrarnos algo de amor en estos tiempos difíciles, no dudes en donar o actualizar tu cuenta. ❤️

Aunque alguien no quiera que utilices un correo electrónico seguro y privado, seguiremos luchando por tu derecho a la privacidad.

Tuta Team Tuta Team El equipo de Tuta te agradece tu apoyo en estos tiempos difíciles.


Aquí también queremos responder a las preguntas más frecuentes que nos hacen a través de las redes sociales y el correo electrónico:

¿Están seguros mis datos?

Sí, todos los datos de Tuta están encriptados de forma segura y nadie puede acceder a ellos, ni siquiera nosotros.

¿Qué pasó con mis correos electrónicos durante el DDoS?

Los correos electrónicos recibidos durante los ataques DDoS se pusieron en cola y se entregaron más tarde.

¿Alguien ha pirateado Tuta?

No, los atacantes nunca piratearon los servidores de Tuta ni accedieron a ningún dato almacenado en nuestros servidores. No se violó ningún dato.

¿Tengo que cambiar mi contraseña?

No, no es necesario cambiar la contraseña. Tuta almacena los hash de las contraseñas. Es imposible obtener la contraseña real a partir de este hash. Por lo tanto, nadie puede conocer su contraseña, ni siquiera nosotros en Tuta. Para proteger su contraseña, utilizamos Argon2.

Disponibilidad offline

Se puede acceder a Tuta Mail y Tuta Calendar sin conexión si está en cualquiera de nuestros planes de pago dentro de las aplicaciones móviles de Tuta en Android e iOS, así como dentro de los clientes de escritorio para Linux, Windows y macOS. También tenemos previsto habilitar el acceso de escritura sin conexión para que pueda redactar mensajes para enviarlos más tarde cuando no tenga acceso a Internet. Ahora que estamos planificando nuestra hoja de ruta para 2025, sin duda daremos prioridad al acceso de escritura sin conexión.

Ilustración de un teléfono con el logotipo de Tuta en su pantalla, junto al teléfono hay un escudo ampliado con una marca de verificación en él que simboliza el alto nivel de seguridad debido al cifrado de Tuta.