¿Puede mi equipo haber participado en algún ataque DDoS, como el de la semana pasada?

Lo que ocurrió el hace ya unos días, cuando un ataque de denegación de servicio distribuido (DDoS) provocó que webs como Twitter o Spotify se quedaran sin servicio, puede ser una anécdota en comparación con lo que podría llegar a pasar.

Muchos recordaréis lo que ocurrió, ya que ha sido una de esas noticias en las que la palabra “ciberseguridad” se escucha (por fin) en los informativos y medios más generalistas y llega al gran público. Un ataque DDoS dejó prácticamente sin conexión a Internet sobre todo a la zona de la costa Este de Estados Unidos. El ciberataque fue perpetrado contra Dyn, una compañía que provee DNS (Sistema de Nombres de Dominio). Los DNS básicamente proporcionan el acceso a los sitios web, “traduciendo” las direcciones (www.ejemplo.com) en direcciones IP (números).

Al principio, no había mucha información, pero las primeras investigaciones apuntan a que fueron miles de dispositivos conectados a Internet, los que conforman el denominado Internet de las Cosas, los que fueron usados para lanzar este ataque. Estas son las conclusiones a las que ha llegado la firma de seguridad e inteligencia Flashpoint, tras una investigación de lo que ocurrió el viernes.

El problema radica en que esos dispositivos usados para lanzar el ataque (de los que no se conoce el número exacto, pero podrían ser unos 100.000) eran vulnerables. Es decir, probablemente no estaban actualizados, no contaban con los parches de seguridad necesarios, bien porque los usuarios no lo habían actualizado correctamente, o porque el fabricante no los ha proporcionado.

Sea como fuere, esos miles de dispositivos fueron infectados con un malware específicamente diseñado para este tipo de equipos: Mirai. El malware Mirai es capaz de infectar dispositivos conectados a Internet, como routers, o cámaras de seguridad, y hacer que funcionen como zombis. Sí, como zombis. Una vez que esos dispositivos están infectados, se convierten en bots (robots), que actúan bajo las órdenes de los cibercriminales, formando parte de una red de bots que se denomina botnet. Todo esto, sin que los dueños de esos equipos se percaten de nada. Estos bots pueden ser manejados por parte de los cibercriminales desde un control central, lo que se denomina Command and Control (C&C).

Dispositivos “inteligentes” y falta de seguridad: una mala combinación

Y es que la combinación de millones de dispositivos conectados a Internet (sin ninguna seguridad), malware específico para estos dispositivos IoT y la capacidad de usarlos a voluntad para generar ciberataques mediante botnets… Es más que peligrosa.

Los expertos no dejan de advertirlo desde hace mucho tiempo: se nos viene una auténtica avalancha de dispositivos conectados a Internet (se calcula que 20.000 millones en 2020) y cantidades ingentes de información que hay que proteger. De lo contrario, las consecuencias podrían ser muy graves. Lo peor, es que no sabemos lo graves que pueden llegar a ser.

En cualquier caso, no es tan sencillo de realizar. Un pequeño ataque, un “susto”, es posible que pueda ser realizado por personas sin grandes conocimientos técnicos, con herramientas a la venta en Internet. Pero este tipo de ataques, a gran escala, sofisticados… Deben ser llevadas a cabo por grupos de personas con grandes capacidades técnicas y recursos.

Esta no es la primera vez que ocurre algo así, ya se han producido ataques DDoS a través de dispositivos relacionados con Internet de las Cosas, convirtiéndolos en ejércitos para una guerra cibernética. De hecho, los dispositivos preferidos para los ciberdelincuentes a la hora de llevar a cabo este tipo de ataques, son las cámaras IP. Hay miles, millones en todo el mundo conectadas a Internet y desprotegidas, esperando para formar parte de estos ciberataques.

Teorías, hay muchas. Algunas de las que van sonando apuntan, cómo no, a Rusia. Otras quieren hacer referencia a la proximidad de las elecciones del 8 de noviembre en Estados Unidos… ¿Y si se dejara con una conexión a Internet tan deficiente a una zona del país que fuera prácticamente imposible votar de forma electrónica?

¿Podría mi equipo haber formado parte de este ciberataque sin saberlo?

Efectivamente, cualquiera de nuestros dispositivos inteligentes, sin la debida protección, han podido ser infectados por algún tipo de malware. Han podido formar parte de una botnet. Y han podido ser un granito de arena más para ayudar a realizar el ciberataque del viernes, perfectamente.

La empresa para la que yo trabajaba hace unos años, allá por el año 2002 más o menos, decidió utilizar el servicio que le ofrecía su entidad financiera para hacer una pequeña web, donde poder darse a conocer, y ofrecer distintos servicios.

Yo en aquella época me encargaba de ciertos temas informáticos, sabiendo entonces mucho menos de lo que sé ahora, también eran tiempos muy distintos, y en principio más tranquilos.

Pues bien, pasados unos meses de la creación de esa web, nos vimos sorprendidos con que nuestra dirección y nuestros correos electrónicos estaban bloqueados, y nos era completamente imposible mandar un solo e-mail.

Lo que ocurrió es que nuestra dirección había sido utilizada para mandar correo spam de forma masiva, y así nos lo comunicaron desde la entidad europea oficial que gestionaba este tipo de cosas, y que entonces estaba en Holanda.

Tuve que mandar un e-mail oficial de mi empresa, a través de nuestro banco, que era quien nos proporcionaba el servicio de página web, certificando que nosotros no habíamos participado en tal cosa de ninguna forma, o de forma consciente, procedieron a investigar toda la información facilitada, y una vez comprobada la veracidad de la misma, volvieron a activarnos nuestros correos electrónicos, nuestra web, y nuestros dominios, y “sólo” nos utilizaron para enviar correo spam, pero era el año 2002… Imaginad lo que pueden hacer hoy en día.

¡Así que sí! Tu equipo podría haber sido utilizado como parte de una botnet para realizar un ataque distribuido de denegación de servicio.

Por cierto, que los DNS no solamente pueden ser atacados de esta manera… Hay formas de aprovecharse de esta forma de comunicación entre ordenadores. ¿Y si se cambiara uno de estos números (DNS) para acceder a una página distinta a la que creemos que estamos accediendo? Por ejemplo, escribes www.google.com y crees que estás accediendo al buscador, pero un atacante ha podido aprovecharse de una vulnerabilidad (en tu router, por ejemplo) para cambiar el DNS al que accedes.

A lo mejor, tal vez podamos sacar algo bueno de todo esto, ver las orejas al lobo, como suele pasar, provoca que aumente la concienciación, y esperemos que no sea solo una noticia de moda pasajera… Pero siempre habrá nuevos peligros, porque ese es el juego, detectar vulnerabilidades que el fabricante no conoce (Dia 0), o explotar vulnerabilidades que no existían en el momento de desarrollo del software, pero que el avance tecnológico hace posible hoy en día.

Sólo estamos a un paso mucho más corto de lo que gente cree, de que sean las “máquinas” los atacantes directos, ya hay ordenadores que fabrican ordenadores, y máquinas que se auto-diagnostican y se reparan a sí mismas, o sea que hay ordenadores que se “reproducen” y máquinas que se “curan solas” …

Y todo, absolutamente todo está conectado, lo que no significa necesariamente que sea accesible, pero si es destruible… Se acerca una nueva era muy distinta, en la que los seres humanos, posiblemente debamos dedicarnos a labores creativas y de investigación, porque casi todas las demás, las harán las máquinas mucho mejor y de forma más eficiente, y este cambio de paradigma se debe empezar a aceptar, cambiando la forma de educar y preparar a generaciones futuras.

No olvidemos que una cadena es tan fuerte como su eslabón más débil, y en este caso el eslabón más débil, desgraciadamente somos nosotros.