INTERNET DE LAS COSAS

El ‘ejército de zombies’ que ha inutilizado cientos de webs. 

Hervé Lambert

El ataque masivo que recibieron ayer las webs de algunas de las principales empresas estadounidenses es uno de los ciberincidentes más potentes que conocemos o, que al menos, se han hecho públicos hasta la fecha. La gravedad del ciberataque es aun mayor, si cabe, por la nueva técnica que se ha usado: los cibercriminales se han servido del Internet de las Cosas para perpetrarlo. En buena parte, ahí radica el éxito de este ataque que ha tumbado una serie de webs con una de las formas más clásicas de inutilizar un servidor como es un ataque por Denegación de Servicio (por sus siglas en inglés DDoS).

Por poner un ejemplo, cuando Anonymous decidía atacar webs de partidos políticos, usaba esta técnica sirviéndose de ordenadores personales. En este caso, ha sido muy distinto. En lugar de inyectar código malicioso en ordenadores o móviles, los cibercriminales han aprovechado todos esos dispositivos que no suelen estar vigilados por antivirus y que se conectan a Internet de forma automática para que la compañía de la luz sepa cuál es nuestro consumo o para que nuestra nevera pida al supermercado más leche. A todos estos dispositivos se los conoce como el Internet de las Cosas (por sus siglas en inglés IoT).

Por tanto, podemos prever que no se va a tratar del último ataque de este estilo, ya que el Internet de las Cosas no para de crecer exponencialmente. En pocos años, tendremos decenas de estos dispositivos en nuestras casas, pero también los habrá en las ciudades inteligentes o smartcities. Todas estas máquinas conectadas a Internet pueden convertirse en un “ejército de zombies” si no se ponen medidas importantes de seguridad en todos ellos.

 ¿Cómo se ha perpetrado el ataque?

Para efectuar este DDoS de esta magnitud, los ciberdelincuentes primero han tenido que infectar miles o decenas de miles de equipos informáticos e instalar un malware que, literalmente, se ha quedado dormido esperando instrucciones para empezar a funcionar. Esta tarea es complicada y lenta, ya que hay que infectar los equipos poco a poco con unos virus bien diseñados para que se queden latentes sin ser identificados.

En segundo lugar, y esta es la parte más complicada de todas, los ciberdelincuentes han tenido que sacar de ese letargo a todos esos virus instalados en miles de dispositivos conectados a Internet para que, de forma simultánea, intentasen acceder al mismo servidor. Tengamos en cuenta que no se ha tratado de ordenadores o móviles, sino de equipos que tradicionalmente están más desprovistos de sistemas antivirus como cámaras de vigilancia de bebés, routers caseros, cafeteras que hacen pedidos de forma automática cuando se quedan sin café y un larguísimo etcétera de dispositivos conectados al Internet de las Cosas

Lo que no está claro es quién tiene la capacidad de tumbar de forma simultánea algunos de los servidores mejor preparados para asumir las mayores cantidades de tráfico como Netflix, New York Times o Spotify. Lo que sí es evidente es que este ataque es un aviso a navegantes para declarar que el Internet de las Cosas es vulnerable. El hecho de que se use el IoT para tumbar webs de servicios de ocio y entretenimiento es preocupante, pero lo que realmente hace imperioso que haya un acuerdo global sobre seguridad es que estos ciberdelincuentes puedan tumbar los servidores de servicios de infraestructuras críticas como un aeropuerto, una central térmica o un hospital.

Tener un antivirus en el ordenador ya no es suficiente, aunque sí necesario. Necesitamos sistemas que defiendan de forma coordinada todas las conexiones a Internet de cada persona, ya que cualquier dispositivo, ya sea un smartwatch, una alarma de incendios, un móvil o una cafetera con conexión a la red pueden convertirse en las piezas clave para efectuar con consecuencias que podrían ir más allá de dejarnos sin escuchar música por Internet durante un par de horas.

Los expertos advierten de la difusión del código usado en el ciberataque

La falta de seguridad de los aparatos conectados a Internet y la liberación del sistema utilizado permite replicar el ataque que inutilizó importantes web. 

Rosa Jiménez Cano.  San Francisco

El sector de la ciberseguridad llevaba tiempo advirtiendo de la necesidad de usar mejores medidas con el Internet de las Cosas. Este viernes, cuando varios ciberataques masivos inutilizaron durante horas las web de grandes compañías, se constataron sus preocupaciones. Una red formada por routers, webcams, televisiones inteligentes e incluso cámaras de vigilancia, parecen estar detrás de los ataques contra DYN, un servidor de nombres de dominio, que afecto a algunos de sus clientes, como Twitter, Paypal, Netflix, Amazon y Spotify y a algunas que ni siquiera están dentro de DYN. Los atacantes buscaban el colapso de la infraestructura de la red. Tanto el FBI como el Departamento de Seguridad Nacional de Estados Unidos tratan de dar ahora con el origen del ataque. Mientras, los expertos alertan de la falta de seguridad de estos dispositivos cotidianos conectados a Internet y advierten de la liberación del código que se usó en los ciberataques; algo que permitiría replicarlos.

Mirai, una red de botnets, un conjunto de aparatos infectados cuyo acceso remoto es vulnerable, es la clave que los expertos manejan en este caso. Salvador Mendoza, un reconocido experto en seguridad de origen mexicano y radicado en California, explica la técnica usada: “Mirai es un malware. Un código dañino diseñado para infectar dispositivos IoT (Internet de las Cosas). Una amalgama de routers, webcams, televisiones inteligentes, cámaras de vigilancia e incluso cafeteras con conexión a Internet. Este tipo de dispositivos son los más vulnerables porque generalmente nunca se actualizan, tienen puertos abiertos y su firmware se vuelve obsoleto y también vulnerable. Lo que hace Mirai es crear una botnet o red de zombies que se controlan remotamente para hacer peticiones a un servicio en específico en Internet; son tantas las peticiones simultáneamente que puede hacer el botnet que el servidor no tiene manera de atender a todas estas y comienza a tener retraso de respuesta y después puede colapsar. Existen tantos dispositivos IoT infectados que incluso el mismo dueño del dispositivo puede que no se haya dado cuenta de que ha sido infectado y está siendo utilizado para realizar un ataque masivo. Es por ello que es muy difícil rastrear al verdadero atacante”.

Pablo Barrera Guzmán, guatemalteco fundador y consejero delegado de Pakal, considera que el mayor problema está en la facilidad para replicar estas acciones maliciosas: “El código fuente del malware fue liberado y está a la vista de cualquier persona para ser utilizado o modificado”. Este experto acusa a las empresas fabricantes de abandonar su software: “El sistema operativo de esos dispositivos no dispone de actualizaciones tan frecuentes como sucede con nuestros portátiles o PC de escritorio. Y las empresas que los fabrican generalmente se dedican a sanar errores de funcionamiento dejando a un lado los de seguridad”. Barrera incluso denuncia que se hayan publicado y puesto a disposición de cualquiera las herramientas para replicar el ataque.

Falta de control sobre el Internet de las cosas

La entidad e impacto de la ciberagresión abre el debate sobre la ausencia de control del Internet de las Cosas. Tanto Jaime Blasco, director de los laboratorios de Alienvault, como Marc Goodman, autor y asesor de fuerzas de seguridad, han alertado sobre las debilidades de este nuevo entorno de objetos controlados. Goodman dejó claro que cuantos más objetos, más puntos de acceso: “Un termostato, una alarma, un frigorífico se convierten en ordenadores, en puntos vulnerables”. Blasco, en cambio, considera que en los últimos años se han empezado a tomar medidas para que los nuevos cacharros integrados en sistemas online tengan nuevos protocolos y no se hackeen con facilidad. Apple, cuya costumbre es crear sus propios protocolos, no está dentro del estándar que ha hecho posible el ataque.

Barrera apunta a que la medida más inmediata será actualizar en remoto los aparatos infectados. Algo complicado en principio, dada la dispersión de los mismos. También la renovación de los mismos, es decir, inversión que recae en los bolsillos del consumidor. De fondo, queda el debate de promover un hackingético, cómo se denomina a las buenas prácticas cuando se encuentran errores.

Uno de los retos en esta comunidad es conseguir que se reporten las brechas a afectados. Muchas empresas son conocidas, como Google y Facebook y últimamente Apple, por pagar recompensas a los que avisan de fallos. El problema es que suelen ser cantidades inferiores a lo que se paga en el mercado negro del Internet profundo (deep web) y, en muchos casos, lo que se busca es reconocimiento y prestigio dentro de los pares.