Cámaras, neveras, lavadoras, receptores de televisión, impresoras, marcapasos.. Últimamente parece que todo tiene que tener conectividad a Internet. Pero qué porcentaje de sus usuarios se preocupa de cambiar las credenciales por defecto, ya no hablamos de actualizar el software o los firmware? Cada día miles de nuevos dispositivos pasan a formar parte de botnets, captados por malwares que escanean sin cesar la red y capaces de como se ha visto recientemente utilizar estos dispositivos para lanzar ataques DDoS de cientos de gigabits/s.
Vivimos en la era de la conectividad, parece ser que la consigna es si está conectado es mejor. En muchas ocasiones esto puede ser cierto ya que dispondremos como usuarios de una mayor control remoto de los mismos y de nuevas capacidades, avanzando de esa manera hacia el hogar conectado. Pero conectado siempre significa más vulnerable.
Leía hace pocos días la historia de una persona que había decidido por instalar una cerradura eléctrica inteligente en su hogar controlada por voz y que un día se vió sorprendido cuando su vecino pudo acceder a su hogar utilizando de viva voz la misma orden que él había configurado.. Esta “anécdota” sirve como ejemplo para ser conscientes de que puede estar muy bien disponer de este tipo de dispositivos pero hemos de ser conscientes de los riesgos inherentes a la conectividad.
Recientemente, el blog de Krebs on Security, uno de los referentes mundiales en cuanto a investigación de la ciberdelincuencia fue atacado por un DDoS sostenido que llegó a los 620 Gigabits/s. En este caso el ataque con capacidad para tumbar casi cualquier web, no tuvo el éxito esperado ya que ese blog ,gracias al gran trabajo de Brian Krebs, recibe el apoyo desinteresado de diversas empresas, entre ellas Akamai, cuyo servicio protege al blog ante este tipo de ataques.
Según los informes de Akamai, el ataque fue casi el doble que el mayor ataque DDoS que habían detectado con anterioridad y con la particularidad que a diferencia de estos grandes ataques detectados previamente que habían sido llevados a cabo con técnicas de amplificación (una base relativamente pequeña de nodos zombie iniciales), este último fue lanzado a la manera tradicional, es decir a través de un inmenso número de dispositivos infectados. En este caso en su mayor parte de dispositivos IoT.
Se han detectado diversas botnets IoT como Lizkebab, BASHLITE, Torlus.... Que utilizan ya una gran variedad de métodos (no solo credenciales por defecto) para infectar toda esta gama de dispositivos. El gran crecimiento en su número, la poca o nula consciencia de las empresas y/o usuarios en mantenerlos seguros y el peligro que suponen los ataques DDoS significa que este segmento seguirá siendo un objetivo primordial para muchos grupos de ciber delincuentes como fuente de negocio o como arma privada.
En el caso del ataque a Krebs on Security, la botnet responsable utiliza el malware Mirai. Este malware se expande constantemente a través del escaneo de Internet para localizar nuevos dispositivos IoT vulnerables. Este malware cuenta en su código con un amplio listado de credenciales por defecto, que en la siguiente lista se ha intentado ligar con su correspondiente dispositivo. Aunque al ser credenciales en su mayor parte genéricas otros muchos dispositivos no presentes en esta lista pueden ser objetivos de este malware.
La recomendación con cualquier dispositivo IoT sería la siguiente, primero y ante la posibilidad de elegir visitar la web del fabricante y ver si tiene una sección de soporte o descargas en condiciones. La mayor parte de los fabricantes jamás lanzarán actualización alguna para sus dispositivos por lo que vale mucho la pena decidirse por alguno que se preocupe de algo más que vender. Nada más adquirirlo, cambiar rápidamente la contraseña por defecto. Pero no solo la de la interfaz web, sino que habría que averiguar si el dispositivo permite conexión SSH, Telnet, etc.. y cambiar las credenciales de la misma manera. Una vez hecho esto averiguar si ya existen actualizaciones disponibles y aplicarlas lo antes posible, monitorizar el tráfico entrante y saliente al dispositivo... Tedioso, si, pero la única manera de estar un poco más seguros de que nuestro dispositivo IoT no es usado para otros fines por un ciberdelincuente.
Si sumamos el problema de que una gran parte de los usuarios mantendrán por desconocimiento o “comodidad” estas credenciales al que otra buena parte de los fabricantes no se preocuparán por la seguridad o facilitarán que el usuario mantenga sus dispositivos al día, tenemos un cóctel perfecto que seguirá permitiendo a los ciber delincuentes contar con una base enorme y creciente de víctimas potenciales para seguir aumentando las filas de sus botnets.
Fuente Krebs On Security
