Thingbots, el peligro de un caos global
El reto que supone tener unos dispositivos conectados a Internet vulnerables es cada vez más grande y más difícil de controlar.
De esta forma, el informe Threat Intelligence report, llevado a cabo recientemente por F5 Labs, área de inteligencia en ciberseguridad de F5 Networks, indica que las organizaciones de todo el mundo no pueden permitirse el lujo de ignorar el aumento imparable de los Thingbots que, formados exclusivamente con dispositivos IoT, se están convirtiendo en una de las armas preferidas por los ciberdelincuentes.
Según F5 Labs, los ataques de fuerza bruta al protocolo Telnet contra dispositivos IoT aumentaron un 249% durante 2017 con respecto a los datos del año anterior. El 44% del tráfico de estos ataques tuvo su origen en China y en direcciones IP de redes chinas. Estados Unidos y Rusia figuran en las siguientes posiciones de la lista de países más activos en esta práctica.
Durante los dos años estudiados, F5 Labs ha podido comprobar que las direcciones IP y las redes desde las que se producen este tipo de ataques se repiten de forma continua, algo que demuestra que el tráfico malicioso o bien no se detecta, o bien es permitido.
Los países más atacados fueron EE.UU., Singapur, España y Hungría. En la lista de los diez países más atacados por Thingbots destaca España, que soportó el 22% de las incidencias detectadas durante el mes de diciembre de 2017. No obstante, F5 Labs dice en su informe que no parece existir un objetivo claro, ya que durante el periodo estudiado los diez países más atacados se repartieron cada mes entre el 24 y el 44% del número total de ataques, lo que significaría que los dispositivos IoT vulnerables se encuentran muy dispersos por todo el mundo.
El informe de F5 Labs destaca que este tipo de ataques se redujo un 77% entre el primer trimestre de 2017 y el último trimestre del mismo año. A pesar de ello, siempre fueron superiores a ataques tan mediáticos como el de Mirai, que en septiembre de 2016 se hizo famoso por haber sido capaz de comprometer a cientos de miles de dispositivos IoT, como cámaras de videovigilancia o routers.
F5 Labs dice también que de acuerdo a los datos de tráfico observados entre los meses de julio y diciembre de 2017, es probable que se estén creando numerosos Thingbots de gran tamaño, por lo que el arsenal destructivo de IoT podría estar preparado para explotar a gran escala. En este sentido, hay que recordar que el analista Gartner afirmó recientemente que ya hay 8.400 millones de dispositivos de IoT en uso, y que se espera que la cifra aumente hasta los 20.400 millones en 2020. Otras empresas, como IHS, estiman que en 2020 serán 30.000 millones y la compañía japonesa SoftBank dice que en 2035 los dispositivos conectados en todo el mundo estarán alrededor del billón de unidades.
Sara Boddy, directora del F5 Labs Threat Research, afirma que "todavía tenemos que llegar a una fase de adopción masiva de dispositivos IoT por parte de los consumidores, por lo que si no cambiamos nuestros estándares de desarrollo ahora, estaremos poniendo en uso cada vez más dispositivos IoT inseguros, lo que nos puede conducir a un futuro caótico".
Telnet no es el único camino
Si bien Telnet se ha mostrado como la principal vía para convertir a los dispositivos IoT en objetos de ataque, F5 Labs piensa que los ciberdelincuentes están diversificando sus tácticas.
"Los nuevos métodos son sencillos desde un punto de vista técnico. Solo requieren unos pocos pasos más en el plan de ataque. También afectan a menos dispositivos, ya que se dirigen a puertos y protocolos no estándar, así como a fabricantes y tipos de dispositivos o modelos específicos", dice Boddy.
Así, F5 Labs indica que al menos 46 millones de routers domésticos serían vulnerables a un ataque de inyección de comando remoto contra los protocolos personalizados de gestión remota TR-069 y TR-064. Estos protocolos se crearon para que los proveedores de servicios de Internet (ISP) pudieran administrar los routers instalados en los hogares de sus clientes. En casos como este, el Thingbot Annie ya ha sido capaz de causar interrupciones generalizadas en los clientes de varios proveedores de telecomunicaciones líderes. Annie es una de las cinco variantes de Thingbots identificadas creadas a partir de Mirai (las otras son Persirai, Satori, Masuta y Pure Masuta). Solo Persirai y Satori atacan a Telnet para conseguir controlar a los dispositivos.
"Es muy probable que a través de Thingbots se hayan lanzado ataques de los que nunca llegaremos a tener constancia. La minería de criptomonedas es un buen ejemplo de ataque a dispositivos IoT que probablemente nunca detectaremos a no ser que cause un impacto notable en el usuario, como el rendimiento lento del dispositivo", explica Sara Boddy. "Todos los profesionales de seguridad, así como los desarrolladores de inteligencia artificial y aprendizaje automático deberían trabajar juntos para establecer controles de seguridad IoT con visión de futuro. El futuro necesita redes neuronales IoT que imiten la forma en que las redes fúngicas mantienen la prosperidad de los entornos naturales".
Para F5 Labs, el mejor consejo para las empresas que quieran evitar las trampas de Thingbots es garantizar la redundancia de los servicios críticos en el caso en el que los proveedores de servicios sean objetivo de un ataque, así como mitigar los ataques relacionados con el robo de identidades con controles en los sistemas de conservación de credenciales y con soluciones de autenticación multifactorial. Además, es importante implementar el descifrado dentro de la red para poder detectar el tráfico malicioso que se esconde en el tráfico encriptado, así como asegurar que los dispositivos que se conectan a la red pasen a través de los sistemas de prevención y detección de eventos de seguridad de la información.
Al mismo tiempo, resulta vital llevar a cabo auditorías periódicas de seguridad de los dispositivos IoT, probarlos antes de su uso y, como siempre, poner en marcha programas de formación para los empleados.