El auge de los objetos conectados es imparable. Statista estima que para 2025 se alcanzará la cifra de 75.400 millones de dispositivos conectados en todo el mundo, por lo que su presencia estará asegurada en todos los ámbitos y sectores. Este rápido desarrollo también está generando preocupación en materia de seguridad, sobre todo a raíz de recientes botnets como Satori, que son capaces incluso de infectar programas de minado de criptomonedas ¿Cuáles han sido los ataques más peligrosos realizados por botnets? ¿Cómo podemos hacer frente a estas amenazas hacia el IoT? 

Los riesgos para las cámaras IP

Como comentamos en un blogpost anterior, la fácil instalación y el coste asequible de las cámaras IP han popularizado estos sistemas de vigilancia, haciendo que muchas empresas y compañías de seguridad se decanten por ellos en lugar de los sistemas tradicionales de CCTV. Como contrapartida, al igual que cualquier otro dispositivo IoT son susceptibles de ser hackeadas de manera remota.

Este riesgo lo aprovecha la botnet Hide ‘N Seek (HNS). Esta red de bots es capaz de infectar una serie de dispositivos, entre los que se encuentran las cámaras, mediante un protocolo Peer-to-Peer (P2P) específico, utilizando la vulnerabilidad Reaper. Su versión actual puede recibir y ejecutar varios tipos de comandos que extraen datos, ejecutan códigos o causan interferencias en las operaciones de los dispositivos. En este sentido, en el ataque detectado en enero de este año se registraron más de 20.000 dispositivos infectados, siendo la mayoría cámaras IP. 

Criptomonedas robadas

Satori es una versión modificada de la botnet de código abierto Mirai. Esta botnet también es capaz de controlar remotamente dispositivos conectados. De hecho, Mirai estuvo implicada en los ataques distribuidos de denegación de servicio (DDoS) que paralizaron al proveedor de DNS Dyn en 2016. Dado que Dyn era el proveedor de empresas como Amazon, Netflix y Twitter, en la práctica Mirai logró paralizar gran parte de internet durante unas horas.

Pero Satori es capaz de hacer mucho más: el pasado mes de enero se descubrió que una variante aprovecha una vulnerabilidad del programa para minado de criptomonedas Claymore Miner. Después de tomar el control del software, Satori reemplaza la dirección de la cartera que el usuario utiliza para recolectar criptomonedas con una cartera controlada por el atacante. Desde ese momento, el atacante recibe todas las criptomonedas generadas y los usuarios no pueden percibirlo a no ser que revisen la configuración del software manualmente.

 Routers hackeados

La botnet Masuta es otra creación de los autores de Satori. En este caso, Masuta aprovecha vulnerabilidades de los routers de dos maneras distintas. Por un lado, accede a los dispositivos utilizando las credenciales que estos traen como configuración de fábrica, de una manera similar a como lo hace la botnet Mirai. Por otro lado, la variante PureMasuta se sirve de un antiguo fallo que tienen los routers que utilizan el protocolo Home Network Administration Protocol (HNAP). Afortunadamente, cada vez menos modelos de routers mantienen por defecto este protocolo.

 Cómo protegerse frente a las botnets

Como ocurre con cualquier red, nuestros objetos conectados nunca podrán alcanzar un grado de invulnerabilidad absoluta, pero podemos prevenir posibles ataques y estar mejor preparados para cuando se dirijan hacia nuestros dispositivos mediante unas recomendaciones específicas para cada caso.

Si deseamos instalar un sistema de vigilancia, es recomendable utilizar cámaras conectadas por cable en lugar de inalámbricas. Una red inalámbrica multiplica las opciones para que los atacantes introduzcan algún tipo de malware en el sistema. Además, también es preferible mantener un servidor propio para gestionar los datos del sistema de vigilancia en lugar de a través de un servidor externo. De esta forma, se reducen mucho las posibilidades accesos no autorizados al sistema.

Con respecto a las criptomonedas, la actividad más segura para gestionarlas es su almacenamiento en un monedero físico que podremos guardar en un lugar seguro: se trata de dispositivos de hardware similares a un pen drive y que se conectan por USB. Estos monederos guardan la clave privada de las cuentas asociadas a las criptomonedas, lo que permite firmar las transacciones sin exponerlas. A medida que las criptomonedas se abren paso como método de transacción, proteger las cuentas de criptomonedas de tu empresa será esencial para no incurrir en importantes pérdidas económicas.

En cuanto a los routers, la mejor recomendación ante ataques de botnets que utilizan antiguas vulnerabilidades es asegurarse de que éstos poseen las últimas actualizaciones de firmware y utilizan protocolos más modernos y seguros, como el futuro WPA3.

Por último, como recomendación general es necesario monitorizar en todo momento el tráfico de la red de tu empresa para evitar la intromisión de accesos y códigos no autorizados. Para ello, soluciones como Panda Adaptive Defense 360 te permiten tener un control absoluto de toda la información de la red de la empresa, ya que monitoriza, registra y categoriza el 100% de todos los procesos activos. La mejor manera de no ser atacado por una botnet es tener visibilidad de todo lo que ocurre en tu empresa, reduciendo al mínimo los vectores de ataque.