El viernes 21 de octubre, una serie de ataques de Denegación de Servicio Distribuido (DDoS) causó una interrupción generalizada de la actividad de Internet en los Estados Unidos. Como los ataques estaban dirigidos al Sistema de Nombres de Dominio (DNS), el servicio encargado de asegurar que los pedidos de información por Internet se entreguen a la dirección correcta, muchas actividades cotidianas (como hacer compras online, interactuar en redes sociales y escuchar música) quedaron interrumpidas por ciertos períodos de tiempo. Aunque la longitud de dichas interrupciones fue variable, en algunos casos se extendió por varias horas.
A continuación mencionamos 10 cosas que debes saber sobre los ataques de DDoS a Dyn que se realizaron a través de la IoT (Internet de las Cosas), y otros ataques similares.
#1
Los atacantes del 21/10 dirigieron grandes cantidades de tráfico falso a los servidores de destino, en este caso, a los servidores de la empresa Dyn, uno de los proveedores más importantes de servicios de DNS para empresas. Esto impidió que algunos sitios web importantes pudieran suministrar un servicio estable; entre ellos se incluyen Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast y la red de Playstation. Pero más allá de estos sitios de alto perfil, se estima que miles de operaciones online de particulares quedaron interrumpidas.
#2
Los ataques del 21/10 fueron posibles debido al gran número de dispositivos digitales conectados a Internet sin protección, tales como routers domésticos y cámaras de vigilancia. Los atacantes hicieron uso de miles de estos dispositivos, que previamente habían sido infectados con código malicioso para formar una botnet.
El software que utilizaron para desplazarse por Internet en busca de dispositivos sin protección está disponible gratuitamente. A pesar de que muchos de estos dispositivos no son computadoras potentes, aún así son capaces de generar grandes cantidades de tráfico falso para desbordar servidores específicos, sobre todo si se emplea un gran número de dispositivos a la vez.
#3
El hecho de que estos dispositivos se usaran con la contraseña predeterminada (por defecto) hizo posible su infección, que luego llevó a los ataques de DDoS. Dado que las contraseñas predeterminadas para la mayoría de los dispositivos son prácticamente de conocimiento público, cualquiera que conecte un dispositivo de este tipo a Internet sin haber cambiado primero la contraseña predeterminada está en efecto permitiendo que se lleven a cabo ataques como los presenciados el 21 de octubre, por más que lo hagan sin darse cuenta.
Una investigación reciente de ESET sugiere que al menos 15% de los routers domésticos no están protegidos (y el número total de routers hogareños en Internet probablemente alcanza los varios cientos de millones).
#4
El aprovechamiento de los dispositivos digitales sin protección conectados a Internet por parte de código malicioso puede perturbar gravemente la vida cotidiana y la actividad económica en los Estados Unidos. Por ejemplo, se estima que se perdieron ingresos por varios millones de dólares en ventas online interrumpidas. Muchas empresas se vieron obligadas a desviar recursos para evaluar el impacto de los ataques en sus clientes y empleados, y responder en consecuencia.
#5
Existen personas que están dispuestas y son capaces de perturbar gravemente la vida cotidiana y la actividad económica en los Estados Unidos mediante el uso de código malicioso. O bien no les importa que sus acciones perjudiquen a decenas de miles de empresas y a cientos de millones de consumidores, o justamente están tratando de causar ese tipo de impacto de manera intencional. No obstante, independientemente de los motivos y las intenciones de los atacantes, el efecto negativo sobre las víctimas es el mismo.
#6
Para reducir la probabilidad de futuros ataques de esta naturaleza, entre otras cosas es necesario disuadir a quienes abusan de los dispositivos digitales conectados a Internet para sus propios fines, y a la vez reducir el número de dispositivos desprotegidos que se pueden utilizar indebidamente.
#7
La reducción de la cantidad de dispositivos digitales desprotegidos conectados a Internet que se pueden utilizar indebidamente es un objetivo alcanzable, con el que muchos miembros de la sociedad pueden contribuir. Principalmente, recomendamos seguir estos cinco consejos para proteger los routers domésticos; además, existen cuatro acciones importantes recomendadas por US CERT a raíz de los últimos ataques:
- Comprueba que todas las contraseñas predeterminadas se hayan cambiado por contraseñas fuertes. Es muy fácil encontrar en Internet los nombres de usuario y las contraseñas por defecto para la mayoría de los dispositivos, por lo que si se dejan, son extremadamente vulnerables.
- Actualiza los dispositivos de la IoT con los parches de seguridad correspondientes apenas estén disponibles.
- Desactiva la configuración automática Universal Plug and Play (UPnP) en los routers al menos que sea absolutamente necesaria.
- Compra los dispositivos de la IoT en empresas conocidas, que tengan una reputación de ofrecer dispositivos seguros.
#8
La infección de routers con código malicioso no es algo nuevo, como lo demuestra claramente esta investigación de ESET, publicada en mayo de 2015. El consejo de cambiar la contraseña predeterminada de los routers domésticos y otros dispositivos conectados a Internet tampoco es nuevo y ya se ha reiterado en muchas ocasiones. En 2014, WeLiveSecurity destacó el descubrimiento de 73.000 cámaras de seguridad que usaban contraseñas predeterminadas.
#9
Lo que sí es nuevo es la escala masiva de los ataques DDoS que se pudieron llevar a cabo gracias a la gran cantidad de dispositivos desprotegidos conectados a Internet: la vasta Internet de las Cosas. Esto no es un buen augurio para la IoT, que ya ha recibido muchas críticas de los defensores de la privacidad, a quienes les preocupa la seguridad de la información de identificación personal que manejan estos dispositivos conectados. De hecho, una encuesta reciente reveló que el 40% de los estadounidenses no creen que los dispositivos de la IoT sean seguros, y más de la mitad de los encuestados contestó que desistieron de comprar un dispositivo de la IoT por miedo a la falta de seguridad cibernética.
#10
¿Qué conclusión podemos sacar de los ataques de DDoS a la IoT del 21/10? Creo que la siguiente: se nos ha mostrado lo vulnerable que es Internet, que ya constituye una parte integral de la infraestructura crítica de los Estados Unidos y de muchos otros países, frente al abuso perjudicial de dispositivos realizado a escala, por personas cuya identidad no es posible determinar en forma directa. Hasta que se tomen medidas para este tipo de vulnerabilidad, se proyectará una gran sombra sobre el futuro de la tecnología conectada, un futuro en el que ya se han invertido mucha esperanza y recursos masivos.