Más de 16.000 'routers' en España están en peligro de 'apagarse' por un ataque

Ha sucedido en Alemania, ha sucedido en Reino Unido e Irlanda y podría suceder también en España, donde más de 16.000 'routers' tienen un problema que los convierte en fáciles candidatos a ser atacados y quedarse sus dueños sin acceso a internet. La mayoría, casi 11.000, pertenecen a clientes del operador Jazztel que, pese a la alerta generada en otros países, considera que el problema supone un "riesgo muy pequeño".

TE PUEDE INTERESAR

Cómo evitar que te 'hackeen' el 'router' de casa y te tumben (o roben) el wifi

Jaume Esteve

Dos ciberdelincuentes la han 'liado parda' en la internet europea en los últimos días. Son BestBuy y Popopret, autores confesos de un ataque que el 27 de noviembre dejó a 900.000 personas en Alemania, clientes de Deutsche Telekom, sin internet ni televisión. Dos días después, repitieron la hazaña, afectando a más de 100.000 personas en Reino Unido, del ISP Talk Talk, el servicio postal británico y la cadena KCOM.

Todos usaban 'routers' de la marca Zyxel y D-Link, con un importante agujero de seguridad que solo se ha solucionado en los países atacados. En el resto, como España, estos 'routers' siguen abiertos a merced de los delincuentes. Lo muestra una consulta en el buscador Shodan: 16.000 'routers' solo de la marca Zyxel tienen el mismo agujero en España, con el puerto 7547 abierto y un error que permite a cualquiera entrar en el aparato.

De estos, casi 11.000 son 'routers' de Jazztel, que resta importancia al problema. "Es un riesgo muy pequeño que solo podría afectar a menos del 0,7% de los 'routers' de Jazztel", reconoce a Teknautas un portavoz de la compañía. El proveedor asegura estar "analizando los equipos que pudieran ser accesibles por ese puerto para ver si realmente son susceptibles de este tipo de ataques o no. En caso de que lo sean, por supuesto se realizará una actualización de versión lo antes posible para solventar el problema".

El analista de seguridad Jorge SoydelBierzo disiente respecto a la importancia del problema. Lo considera grave por el hecho de que un atacante podría llegar a "instalarte un 'firmware' modificado, reenviarte a páginas del atacante que simulen ser tu banco, o sustituir servicios de publicidad legítimos, como DoubleClick, por uno propio que inyecte 'malware' en tu equipo, entre otras maldades". Y también convertir el 'router' en un arma de ataque. Esta es precisamente la razón del actual revuelo.

Esta es ahora la situación en el hampa cibernética: facciones luchando por hacer suyo el medio millón de dispositivos que formaban la red Mirai original

Y es que 'routers' vulnerables los ha habido siempre, así como gente que los ha atacado en masa. Incluso hubo, el año pasado, un buen samaritano que los atacaba para inyectarles un código que parcheaba sus agujeros. La razón del actual revuelo es Mirai, el nombre de un virus y un 'botnet' responsables de brutales ataques DDoS, usando para ello aparatos inseguros de la internet de las cosas, como cámaras IP, grabadores de vídeo digital o 'routers'.

Los virus para la internet de las cosas ya existían al menos desde 2013. Pero Mirai ha llegado cuando los dispositivos conectados a internet empiezan a tener un número importante, y ha demostrado su poder con brutales ataques de denegación de servicio contra sitios de infraestructura de internet como el proveedor OVH o Dyn. Además, su autor o autora, Anna-Senpai, hizo público el código de Mirai el 30 de septiembre, permitiendo que cualquiera pueda crear su propio virus y 'botnet' para la internet de las cosas.

Esto ha animado mucho el mercado ya boyante de los ataques DDoS, donde delincuentes alquilan redes de ordenadores para lanzar bombardeos al coste de entre 25 y 150 dólares las 24 horas. Los 'botnets' de la internet de las cosas son de construcción barata y fácil, y posibilitan bombardeos muy potentes, dado que, explica SoydelBierzo, "la mayoría de dispositivos están conectados 24x7, desactualizados y/o usando las claves por defecto".

Los ciberdelincuentes BestBuy y Popopret también alquilan su 'botnet', que, aseguran, tiene 4,8 millones de 'bots', aunque los expertos la cifran en menos. BestBuy y su amigo han creado una modificación del virus Mirai, al que llaman Annie, con el que buscan nuevos mercados, o sea, dispositivos para hacer crecer su red. Esta es ahora la situación en el hampa cibernética: facciones luchando por hacer suyo el medio millón de dispositivos que formaban la red Mirai original, despiezándola y creando así decenas de pequeñas 'redes' Mirai, con no más de 50.000 aparatos cada una.

Infectados hasta que "los tiras a las basura"

Todos lanzan sus virus masivamente, a la búsqueda de dispositivos que se hayan conectado de nuevo a la red, o bien hayan sido reiniciados (el delincuente pierde el control del 'router' si este se reinicia, quedando en manos del próximo que lo intente). Los más listos, como BestBuy y su amigo, crean código para inyectarlo a los 'routers' atacados y así no perder su control cuando se reinicien. Así, explica SoydelBierzo, "estos dispositivos, una vez infectados, seguirán estándolo hasta que los tires a la basura. A la mayoría de las operadoras les importa poco y a los fabricantes chinos de cámaras IP baratas, imagina...".

Al conectar una cámara IP JideTech a Internet, en 98 segundos, un virus tipo Mirai ya la había detectado y tomado su control

Y es que, como destaca este experto, la mayoría de los dispositivos de la internet de las cosas "jamás serán actualizados y no tienen un antivirus dentro que descubra el código malicioso". Sus propietarios tampoco tienen forma de darse cuenta de que han pasado a formar parte de un 'botnet', a no ser que visiten servicios como IOT Scanner, algo que nadie suele hacer normalmente.

La competencia entre los salteadores de la internet de las cosas es feroz. Lo demuestra una prueba que realizó el investigador Robert Graham a mediados de noviembre: conectó una cámara IP JideTech a internet y en 98 segundos un virus tipo Mirai ya la había detectado y tomado su control.

El parque de aparatos conectados a la internet de las cosas, por el que compiten esos oscuros empresarios del "DDoS-como-servicio", aún es pequeño en comparación con lo que puede llegar a ser, afirma el estudio 'Rise of the Machines': "Gartner estima que a finales de 2016 hay unos 4.000 millones de dispositivos interconectados, y solo en estas navidades se comprarán más de 170 millones, como relojes inteligentes, consolas de videojuego y otros. De estos, el 4,6% serán vulnerables a 'botnets' como Mirai".

Según James Scott y Drew Spaniel, autores del estudio, los brutales ataques que hemos visto hasta ahora, que según Akamai han supuesto un aumento del 70% en los ataques DDoS respecto al año pasado, serían solo "testeos de combinaciones de tipos de tráfico, desde pequeños números de 'bots". Los autores de estos bombardeos estarían solo "haciendo pruebas sobre las capacidades del 'malware', no llevando a cabo ataques a gran escala", asegura el estudio.

Esto es precisamente lo que adujeron BestBuy y Popopret a los medios, después de dejar a casi un millón de alemanes sin internet: estaban haciendo "pruebas". Y lo mismo respecto a los ataques en Reino Unido: "No lo hicimos intencionadamente, pero ellos también deberían dar a sus clientes mejores equipos".

Los récords del 'botnet' Mirai

- 20 septiembre 2016. El blog del experto en ciberseguridad Brian Krebs cae bajo un extraño ataque, lanzado desde una red de cámaras IP, 'routers' y grabadoras digitales. Potencia máxima del ataque: 620 gigabits por segundo.

- 16 noviembre 2016. El proveedor francés OVH sufre brutales oleadas de ataques DDoS coordinados de diferentes redes hechas también con cámaras IP, 'routers' y grabadoras. Potencia máxima: 1,1 terabits por segundo.

- 21 octubre 2016. El proveedor de infraestructura DNS Dyn sufre multiples ataques desde aproximadamente 100.000 dispositivos de un 'botnet' Mirai. Clientes de Dyn como Twitter, Reddit o Spotify se ralentizan o caen esporádicamente. Potencia máxima: 1,2 terabits por segundo.

- 3 noviembre 2016. Múltiples fuentes confirman que Mirai ha atacado al principal proveedor de telefonía móvil de Liberia. Se llega a asegurar que el país se ha quedado sin internet, pero muchos expertos lo ponen en duda. Potencia máxima: 500 gigabits por segundo.

- Finales de octubre-3 noviembre 2016. Dos bloques de apartamentos en Lappeenranta (Finlandia) se quedan sin agua caliente ni calefacción porque Mirai ataca sus sistemas de control, que están conectados a internet. Los encargados del mantenimiento no saben nada de internet y, mientras esperan una solución de la compañía central, Valtia, los residentes pasan una semana sin calefacción.

- Octubre-noviembre 2016. Diferentes ataques contra las dos facciones de la campaña por las elecciones presidenciales en EEUU se atribuyen a 'botnets' Mirai, con potencias disminuidas porque la red principal se ha partido entre distintos grupos. Vemos ataques DDoS contra las webs de Donald Trump y Hillary Clinton, también contra un servicio bancario telefónico usado por ambos candidatos e incluso el sitio WikiLeaks, cuando el 7 de noviembre publica los correos electrónicos de John Podesta.

- 8-10 noviembre 2016. Cinco bancos rusos, Sberbank, Alfa-bank, Moscow Exchange, Bank of Moscow y Rosbank, sufren ataques DDos prolongados, de una a 12 horas, desde 24.000 dispositivos infectados de la internet de las cosas localizados en 30 países.