Puede que lo más llamativo del gran ataque DDoS de la semana pasada, el cual hizo caer 80 páginas webs y servicios online, sea que los delincuentes responsables no lo llevaron a cabo mediante medios particularmente innovadores y sofisticados, sino creando un verdadero ejército con dispositivos conectados de usuarios (lo que llamamos el Internet de las Cosas, IdC). En este artículo explicaremos los conceptos críticos y cómo este incidente está ligado a cada uno de nosotros.
https://media.kasperskydaily.com/wp-content/uploads/sites/87/2016/10/05195955/dyn-featured.jpg
El ataque
El 21 de octubre, muchos americanos descubrieron que sus páginas web favoritas no estaban disponibles. Sin ver Netflix, sin realizar transferencias mediante PayPal, sin juegos en línea con PlayStation. Y ni siquiera pudieron tuitear sobre el problema ya que Twitter también estaba caído.
En resumen, 85 webs principales funcionaban ralentizadas o, simplemente, no respondían.
Resultó que el problema fue una serie de ataques (tres en total) contra la estructura americana de Internet. La primera ola afectó a la Costa Oeste, la segunda a usuarios de California y del Medio Oeste y la tercera se mitigó con los esfuerzos de Dyn, la compañía de servicios DNS que fue el objetivo principal de los ataques.
Servicios musicales, redes sociales y otras muchas fuentes se vieron afectadas. Amazon recibió una atención especial: un ataque distinto contra su web en Europa Occidental la hizo caer durante un rato.
DNS y DDoS
Entonces, ¿cómo es posible que tantas webs se vean afectadas con solo tres ataques? Para comprenderlo, debes saber qué son las DNS.
Can't get on a website? This is a live map, right now, of the massive DDoS attacks on Dyn's servers. It is creating many issues right now. pic.twitter.com/fekUqNgaL7
— Flying With Fish (@flyingwithfish) October 21, 2016
El sistema de nombres de dominio (DNS por sus siglas en inglés) es el que conecta tu navegador con la página web que estás buscando. En esencia, cada página web tiene su dirección digital, un lugar en el que se hospeda, y una URL más fácil de recordar. Por ejemplo, blog.kaspersky.com vive en la dirección IP 161.47.21.156.
Un servidor DNS funciona como una libreta de direcciones (dice a tu navegador en qué ubicación digital se guarda una web). Si un servidor DNS no responde a una petición, tu navegador no sabrá cómo cargar la página. Por ello, los proveedores DNS (en especial los principales) son una parte importante de la infraestructura de Internet.
Esto nos lleva a los ataques DDoS. Un ataque de denegación de servicio inunda el servidor que hace funcionar una página web o servicio online con peticiones hasta que este colapsa y sus webs dejan de funcionar. Para un ataque DDoS, los delincuentes deben enviar un gran número de peticiones y, por ello, necesitan muchos dispositivos. Para un ataque DDoS, suelen utilizar muchas computadoras hackeados, smartphones, entre otros dispositivos conectados. Al trabajar juntos (pero sin que el propietario lo sepa ni lo consienta), estos dispositivos conforman botnets.
Chinese manufacturer #recall #IOT gear following #Dyn #DDoS via @Mike_Mimoso https://t.co/SQBo8adUIi #infosec pic.twitter.com/bCtqwuSRmm
— Kaspersky (@kaspersky) October 24, 2016
Dejando K.O. a Dyn
Así es cómo sucedió todo. Alguien utilizó una botnet enorme contra Dyn en la que se incluían millones de dispositivos (cámaras IP, routers, impresoras y otros dispositivos inteligentes del Internet de las Cosas). Inundaron la web de Dyn con peticiones (1,2 terabits por segundo). Se estima que el daño asciende a los 110 millones de dólares. Aun así, los delincuentes responsables no pidieron ningún rescate ni hicieron ninguna otra petición.
De hecho, lo único que hicieron fue atacar y no dejaron pistas. Sin embargo, los grupos de hackers New World Hackers y RedCult han reivindicado el incidente. Además, RedCult ha prometido que en el futuro llevará a cabo más ataques.
¿Por qué el usuario medio debería preocuparse?
Aunque el incidente de Dyn no te afectara a ti personalmente, eso no significa que no tomaras parte en él.
Para crear una botnet, los delincuentes necesitan muchos dispositivos con conexión a Internet. ¿Cuántos dispositivos conectados tienes? Un teléfono, quizá una smart TV y una webcam. ¿Quizá un termostato o una nevera conectados? Los dispositivos hackeados sirven a dos personas a la vez: con sus propietarios funcionan como de costumbre, pero también atacan páginas web bajo los comandos de un delincuente. Millones de dichos dispositivos hicieron que Dyn cayera.
La gran botnet se creó con la ayuda del malware Mirai, cuya función es muy sencilla: busca dispositivos IdC y prueba una contraseña en los que encuentra. A menudo, los usuarios no cambian los ajustes ni las contraseñas por defecto de sus dispositivos, por lo que estos son fáciles de hackear. Así es como se unen a los ejércitos zombis de Mirai o de malwares similares.
Ello significa que tu TV conectada podría ser parte de una botnet y tu no lo sabrás nunca.
A timely reminder: These 60 dumb passwords can hijack over 500,000 IoT devices into the Mirai botnet https://t.co/RgjgRIJFy8
— Graham Cluley (@gcluley) October 24, 2016
En septiembre de este año, alguien utilizó Mirai para hacer caer el blog de seguridad informática del periodista Brian Krebs, colapsando el servidor con peticiones de 380,000 dispositivos a unos 665 gigabits por segundo. El proveedor intentó mantenerse en línea, pero termino por rendirse. El blog empezó a funcionar de nuevo solo después de que Google interviniera para protegerlo.
Poco después del ataque, un usuario bajo el pseudónimo Anna-senpai publicó el código fuente de Mirai en un foro clandestino. Delincuentes de todo tipo lo tomaron a la vez. Desde entonces, el número de bots de Mirai ha ido incrementando; el ataque a Dyn sucedió menos de un mes después.
Implicando el IdC
Los ataques DDoS son muy populares. A los criminales les resulta atractivo utilizar dispositivos inteligentes en estos ataques, pues como ya hemos mencionado, el Internet de las Cosas tiene fallos, es vulnerable y no parece que ese hecho vaya a cambiar pronto.
How will the Internet of Things affect cybersecurity? – http://t.co/fWScmf4QfQ pic.twitter.com/sAk1mcZPg5
— Kaspersky (@kaspersky) April 9, 2015
Los desarrolladores de dispositivos inteligentes hacen poco por proteger sus dispositivos y no explican a los usuarios que deberían cambiar las contraseñas de las cámaras, routers y otros dispositivos. De hecho, no todos permiten que los usuarios lo hagan y, por ello, los dispositivos IdC son el objetivo perfecto.
Hoy, entre 7 000 y 19,000 millones de dispositivos están conectados a Internet. De acuerdo con cálculos moderados, dicha cifra aumentaría a entre 30,000 y 50,000 millones en los próximos años. Seguramente, la mayoría de estos dispositivos no estarán muy protegidos. Además, los dispositivos comprometidos de Mirai están todavía activos (y cada día se unen a sus ejércitos más).
¿Y a largo plazo?
A menudo, los delincuentes utilizan botnets para atacar el núcleo de infraestructura industrial (subestaciones eléctricas, instalaciones de agua y sí, proveedores de DNS). El investigador de seguridad, Bruce Schneier, opina que alguien está “aprendiendo a cómo hacer caer Internet” con la ayuda de ataques DDoS continuos y potentes.
Las botnets se hacen mayores y cuando esos ataques de prueba terminan, no es irracional pensar que empezará un ataque a mayor escala. Imagina docenas de ataques simultáneos tan poderosos como lo fue el incidente de Dyn y entenderás qué daños podrían causarse. Países enteros podrían perder su Internet.
The #Mirai botnet has recruited nearly 500,000 #IoT devices since its source code was released – https://t.co/m8ooWKrjph
— Threatpost (@threatpost) October 19, 2016
Cómo no formar parte de una botnet
Una persona no puede impedir que las botnets hagan caer Internet, pero juntos podemos hacer mucho si no nos unimos a una botnet. Puedes empezar por hacer que tu dispositivo sea más seguro para que ni Mirai ni otro malware similar pueda tomar el control de este. Si todos lo hiciéramos, las botnets pasarían a ser insignificantes.
Para impedir que tu impresora, router o refrigerador llegue al mundo oscuro de Internet, toma estas simples precauciones:
- Cambia las contraseñas por defecto de todos tus dispositivos. Utiliza combinaciones seguras que no puedan averiguarse mediante fuerza bruta.
- Actualiza el firmware de todos tus dispositivos (si es posible), en especial de los antiguos.
- Sé selectivo a la hora de elegir dispositivos inteligentes. Pregúntate: “¿De verdad necesita esto conectarse a Internet?” Si la respuesta es “¡Sí!”, infórmate sobre las opciones del dispositivo antes de comprarlo. Si averiguas que sus contraseñas no son configurables, elige otro modelo.