BLOG

Los thingbots se transforman en plataformas de ataque

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 29 de noviembre de 2018

Esto no es un simulacro. La amenaza de los Thingbots es existencial y crece con cada dispositivo conectado que instalamos.

Tengo un perro pastor de Shetland que tiene algo en contra de mi tostadora. Cada vez que está encendido, ladra y salta sobre él como si fuera una amenaza. Mi marido y yo bromeamos diciendo que el perro cree que la tostadora es un Decepticon. O al menos eso era lo que hacíamos hasta que leí el último informe de F5 Labs . Ahora me pregunto si quizás mi perro sabe algo que nosotros no sabemos.  

Desde hace años, F5 Labs rastrea e informa sobre ataques contra dispositivos IoT. Además de las obvias cámaras IP y enrutadores SOHO, eso incluye su televisor, horno, refrigerador y su cafetera Keurig.

Leyó correctamente: F5 Labs ha detectado tráfico de ataque proveniente de una cafetera Keurig. Lo cual hace que la sospecha de mi perro hacia mi tostadora no parezca tan loca como hace un momento, ¿no?

El último informe de F5 Labs, que cubre datos sobre ataques globales contra dispositivos IoT desde enero hasta junio de 2018, es aleccionador. No sólo porque los dispositivos IoT siguen siendo atacados o incluso porque son vulnerables a ataques, sino por la transformación que se está produciendo.

El informe señala que el 74% de los " thingbots" que conocemos se desarrollaron en los últimos dos años. Solo en 2018 se descubrieron trece thingbots, y ya no son bots de propósito único o doble. Se ha producido un cambio hacia bots de ataque multipropósito a sueldo que implementan servidores proxy".

Los Thingbots se están transformando en plataformas de ataque. Son dinámicos y configurables, capaces de lanzar una multitud de ataques, desde cryptojacking hasta rastreadores de paquetes, secuestros de DNS y credential stuffing. Los atacantes no solo están reclutando dispositivos IoT, sino que los están entrenando para que sean súper soldados en sus ejércitos digitales.

Dada la facilidad con que los atacantes pueden comprometer los dispositivos, esta transformación es preocupante. La capacidad de utilizar un único dispositivo comprometido para múltiples tipos de ataques proporciona a los “propietarios” de estas botnets una ventaja económica. Alquilar redes de dispositivos comprometidos ha sido durante mucho tiempo un negocio lucrativo, pero la capacidad de diversificar su cartera es una ventaja en cualquier mercado.

No se dejen engañar pensando que esto no es un mercado. Lo es, y al transformar los thingbots en plataformas, los atacantes están garantizando que sea un mercado en crecimiento.

Lo frustrante es que sigamos alimentando este mercado. Los fabricantes y proveedores de servicios lo hacen basándose en credenciales predeterminadas débiles que se pueden descubrir (o adivinar) fácilmente. El informe de F5 Labs señala: "El ochenta y ocho por ciento (88 %) de las credenciales de la lista de las 50 más atacadas desde el 1 de enero de 2018 hasta el 30 de junio de 2018 tienen el mismo nombre de usuario que la contraseña. Esto incluye 'root:root', 'admin:admin' y 'user:user'.

Los atacantes lo saben y lo explotan con índices de éxito alarmantes. Ese éxito se ve favorecido por el hecho de que los consumidores no cambian estas credenciales predeterminadas.  Y una vez que los atacantes tienen el control de un enrutador SOHO, es sencillo atacar todos los dispositivos dentro de la red que de otra manera no habrían sido accesibles.

Me gusta tu cafetera. O quizás mi tostadora.

Será interesante ver si la prohibición de contraseñas predeterminadas en California (que entrará en vigor el 1 de enero de 2020) tendrá algún impacto medible. El proyecto de ley exige que cualquier dispositivo conectado vendido en California tenga una contraseña única al momento de su fabricación o requiera la creación de una en la primera interacción del usuario. Dada la naturaleza global del mercado, es probable que este requisito afecte a los dispositivos vendidos en cualquier lugar. Pero eso sólo incluye los dispositivos vendidos después del 1 de enero de 2020. No afectará a los dispositivos vendidos ahora ni durante los próximos dos años. Para entonces, la red global de dispositivos comprometidos puede ser tan grande que no será de tanta ayuda como podría haber sido si esta ley (o una ley similar en otro estado) se hubiera implementado hace años.

Vale la pena leer el último informe de F5 Labs para comprender la grave amenaza que representan los thingbots no solo para las propiedades digitales sino también para las personas. Cada aspecto de nuestras vidas se está transformando digitalmente, y la IoT es un contribuyente significativo a esa transformación. Al apropiarse de los dispositivos de los cuales dependen nuestros policías, bomberos y profesionales médicos, los atacantes pueden afectar nuestra salud y seguridad. El control de la señalización digital que guía y dirige el tráfico en las carreteras podría conducir a resultados desastrosos.

Cuanto más dependamos de los dispositivos IoT, mayor será la amenaza de que se vean comprometidos.