Al utilizar este servicio y el contenido relacionado, aceptas el uso de cookies para análisis, contenido personalizado y publicidad.
Estás usando una versión más antigua del explorador. Usa una versión compatible para obtener la mejor experiencia en MSN.

Más de 16.000 'routers' en España están en peligro de 'apagarse' por un ataque

Logotipo de El Confidencial El Confidencial 12/12/2016 Mercè Molist

Ha sucedido en Alemania, ha sucedido en Reino Unido e Irlanda y podría suceder también en España, donde más de 16.000 'routers' tienen un problema que los convierte en fáciles candidatos a ser atacados y quedarse sus dueños sin acceso a internet. La mayoría, casi 11.000, pertenecen a clientes del operador Jazztel que, pese a la alerta generada en otros países, considera que el problema supone un "riesgo muy pequeño".

Dos ciberdelincuentes la han 'liado parda' en la internet europea en los últimos días. Son BestBuy y Popopret, autores confesos de un ataque que el 27 de noviembre dejó a 900.000 personas en Alemania, clientes de Deutsche Telekom, sin internet ni televisión. Dos días después, repitieron la hazaña, afectando a más de 100.000 personas en Reino Unido, del ISP Talk Talk, el servicio postal británico y la cadena KCOM.

Todos usaban 'routers' de la marca Zyxel y D-Link, con un importante agujero de seguridad que solo se ha solucionado en los países atacados. En el resto, como España, estos 'routers' siguen abiertos a merced de los delincuentes. Lo muestra una consulta en el buscador Shodan: 16.000 'routers' solo de la marca Zyxel tienen el mismo agujero en España, con el puerto 7547 abierto y un error que permite a cualquiera entrar en el aparato.

© Proporcionado por El Confidencial

De estos, casi 11.000 son 'routers' de Jazztel, que resta importancia al problema. "Es un riesgo muy pequeño que solo podría afectar a menos del 0,7% de los 'routers' de Jazztel", reconoce a Teknautas un portavoz de la compañía. El proveedor asegura estar "analizando los equipos que pudieran ser accesibles por ese puerto para ver si realmente son susceptibles de este tipo de ataques o no. En caso de que lo sean, por supuesto se realizará una actualización de versión lo antes posible para solventar el problema".

El analista de seguridad Jorge SoydelBierzo disiente respecto a la importancia del problema. Lo considera grave por el hecho de que un atacante podría llegar a "instalarte un 'firmware' modificado, reenviarte a páginas del atacante que simulen ser tu banco, o sustituir servicios de publicidad legítimos, como DoubleClick, por uno propio que inyecte 'malware' en tu equipo, entre otras maldades". Y también convertir el 'router' en un arma de ataque. Esta es precisamente la razón del actual revuelo.

Y es que 'routers' vulnerables los ha habido siempre, así como gente que los ha atacado en masa. Incluso hubo, el año pasado, un buen samaritano que los atacaba para inyectarles un código que parcheaba sus agujeros. La razón del actual revuelo es Mirai, el nombre de un virus y un 'botnet' responsables de brutales ataques DDoS, usando para ello aparatos inseguros de la internet de las cosas, como cámaras IP, grabadores de vídeo digital o 'routers'.

Los virus para la internet de las cosas ya existían al menos desde 2013. Pero Mirai ha llegado cuando los dispositivos conectados a internet empiezan a tener un número importante, y ha demostrado su poder con brutales ataques de denegación de servicio contra sitios de infraestructura de internet como el proveedor OVH o Dyn. Además, su autor o autora, Anna-Senpai, hizo público el código de Mirai el 30 de septiembre, permitiendo que cualquiera pueda crear su propio virus y 'botnet' para la internet de las cosas.

© Proporcionado por El Confidencial

Esto ha animado mucho el mercado ya boyante de los ataques DDoS, donde delincuentes alquilan redes de ordenadores para lanzar bombardeos al coste de entre 25 y 150 dólares las 24 horas. Los 'botnets' de la internet de las cosas son de construcción barata y fácil, y posibilitan bombardeos muy potentes, dado que, explica SoydelBierzo, "la mayoría de dispositivos están conectados 24x7, desactualizados y/o usando las claves por defecto".

Los ciberdelincuentes BestBuy y Popopret también alquilan su 'botnet', que, aseguran, tiene 4,8 millones de 'bots', aunque los expertos la cifran en menos. BestBuy y su amigo han creado una modificación del virus Mirai, al que llaman Annie, con el que buscan nuevos mercados, o sea, dispositivos para hacer crecer su red. Esta es ahora la situación en el hampa cibernética: facciones luchando por hacer suyo el medio millón de dispositivos que formaban la red Mirai original, despiezándola y creando así decenas de pequeñas 'redes' Mirai, con no más de 50.000 aparatos cada una.

Infectados hasta que "los tiras a las basura"

Todos lanzan sus virus masivamente, a la búsqueda de dispositivos que se hayan conectado de nuevo a la red, o bien hayan sido reiniciados (el delincuente pierde el control del 'router' si este se reinicia, quedando en manos del próximo que lo intente). Los más listos, como BestBuy y su amigo, crean código para inyectarlo a los 'routers' atacados y así no perder su control cuando se reinicien. Así, explica SoydelBierzo, "estos dispositivos, una vez infectados, seguirán estándolo hasta que los tires a la basura. A la mayoría de las operadoras les importa poco y a los fabricantes chinos de cámaras IP baratas, imagina...".

Y es que, como destaca este experto, la mayoría de los dispositivos de la internet de las cosas "jamás serán actualizados y no tienen un antivirus dentro que descubra el código malicioso". Sus propietarios tampoco tienen forma de darse cuenta de que han pasado a formar parte de un 'botnet', a no ser que visiten servicios como IOT Scanner, algo que nadie suele hacer normalmente.

La competencia entre los salteadores de la internet de las cosas es feroz. Lo demuestra una prueba que realizó el investigador Robert Graham a mediados de noviembre: conectó una cámara IP JideTech a internet y en 98 segundos un virus tipo Mirai ya la había detectado y tomado su control.

El parque de aparatos conectados a la internet de las cosas, por el que compiten esos oscuros empresarios del "DDoS-como-servicio", aún es pequeño en comparación con lo que puede llegar a ser, afirma el estudio 'Rise of the Machines': "Gartner estima que a finales de 2016 hay unos 4.000 millones de dispositivos interconectados, y solo en estas navidades se comprarán más de 170 millones, como relojes inteligentes, consolas de videojuego y otros. De estos, el 4,6% serán vulnerables a 'botnets' como Mirai".

(Foto: Reuters) © Proporcionado por El Confidencial (Foto: Reuters)

Según James Scott y Drew Spaniel, autores del estudio, los brutales ataques que hemos visto hasta ahora, que según Akamai han supuesto un aumento del 70% en los ataques DDoS respecto al año pasado, serían solo "testeos de combinaciones de tipos de tráfico, desde pequeños números de 'bots". Los autores de estos bombardeos estarían solo "haciendo pruebas sobre las capacidades del 'malware', no llevando a cabo ataques a gran escala", asegura el estudio.

Esto es precisamente lo que adujeron BestBuy y Popopret a los medios, después de dejar a casi un millón de alemanes sin internet: estaban haciendo "pruebas". Y lo mismo respecto a los ataques en Reino Unido: "No lo hicimos intencionadamente, pero ellos también deberían dar a sus clientes mejores equipos".

(Foto: iStock) © Externa (Foto: iStock)
Gestión anuncios
Gestión anuncios

Más de El Confidencial

image beaconimage beaconimage beacon