Una epidemia de ciberataques pone en jaque el 'software' libre

Enero está siendo un mes agitado para las bases de datos almacenadas en sistemas abiertos, por culpa de una serie de ataques de 'ramsonware' que no deja de aumentar. Más de 30.000 bases de datos de MongoDB perdidas, 4.600 servidores de ElasticSearch secuestrados... En las últimas horas, el sistema de almacenamiento distribuido Hadoop ya ha visto más de cien actos vandálicos. Al cierre de este artículo, CouchDB comienza a correr la misma suerte, con más de 400 casos. Todas estas plataformas tienen algo en común: son de código abierto. ¿Son casos aislados o estamos frente a una epidemia?

TE PUEDE INTERESAR

Miles de empresas (y sus clientes), en peligro tras un ataque masivo de 'ransomware'

Sergio Ferrer

Los casos de MongoDB y ElasticSearch —un motor de búsqueda para bases de datos— son muy similares: los atacantes borran los datos y dejan detrás una nota en la que piden un rescate de unos 170 euros. Aunque se pague, recuperar la información no es algo seguro: en muchas ocasiones han eliminado del todo la información y la única forma de recuperarla es si existe una copia de seguridad.

El ataque a Hadoop es algo distinto: los responsables borran todos los directorios y dejan uno vacío con el nombre NODATA4U_SECUREYOURSHIT (No hay datos para ti, asegura tu mierda). En otras palabras, se trata de un mero acto vandálico sin más fin que hacer daño. En 2015, un 'hacker' hizo algo similar con varias bases de datos de MongoDB, dejando detrás DELETED_BECAUSE_YOU_DIDNT_PASSWORD_PROTECT_YOUR_MONGODB (Borrado porque no protegiste con contraseña tu MongoDB).

Un año de inflexión

En Teknautas hemos hablado con Victor Gevers, un 'hacker' que vela por la seguridad de internet desde la Fundación GDI y que descubrió el primer caso en una base de datos de MongoDB a finales de diciembre. En su opinión, los ataques no han hecho más que empezar: "Hay sistemas abiertos que no quiero ni mencionar porque hay demasiados idiotas que comenzarán a buscarlos".

"Por lo que ha pasado en las primeras semanas, parece que 2017 será el año en el que todos los sistemas abiertos serán salvados en el último momento... o perecerán por ataques de 'ranwomware'", lamenta Gevers. El 'hacker' explica que estas plataformas son como la fruta que cuelga más baja de los árboles, mucho más fácil de coger. "Antes los atacantes copiaban los datos y se iban. No tenían necesidad de además 'mear en la pared'. Volvían a por más hasta que eran descubiertos y el fallo era reportado y solucionado".

Gevers explica que MongoDB y ElasticSearch eran objetivos "muy obvios", y que otros sistemas como Riak, Redis y Memcached están "a la espera" de que algo suceda. En Teknautas hablamos por primera vez de este tipo de virus, capaz de 'secuestrar' tus archivos y pedir un rescate por ellos, en 2015. A lo largo del año pasado, los ataques se incrementaron hasta popularizar el término, y en 2017 la situación no promete mejorar. "La mejor forma de evitar muchos de estos problemas es poner tu infraestructura tecnológica tras un 'firewall' y asegurarte de que el personal está cualificado. También que las empresas establezcan configuraciones seguras por defecto".