La mayoría de noticias sobre ataques que utilizan protocolos básicos de internet ponen el foco en la World Wide Web. Esto implica que los protocolos HTTP o DNS suelen ser los protagonistas y por eso gran parte de las políticas y del software de ciberseguridad de las empresas se centran en ellos. Sin embargo, también existen riesgos con otros protocolos que los ciberdelincuentes también pueden utilizar como vector de ataque. Se trata de los protocolos BGP, NTP y FTP. Los tres pueden suponer un peligro serio para la información de la empresa y en ocasiones no reciben la atención que merecerían, dada la potencial amenaza que suponen. A continuación, describiremos en qué consiste cada uno y cómo los utilizan los ciberatacantes.
BGP
El protocolo de Puerta de enlace de frontera (en inglés, Border Gateway Protocol) es el encargado de intercambiar información de enrutamiento entre sistemas autónomos, esto es, aquellos grupos de redes IP que poseen una política propia e independiente. Es decir, se trata del protocolo que utilizan los grandes nodos de Internet para comunicarse entre ellos y transferir una gran cantidad de información entre puntos de la red. Por eso, uno de los riesgos unido a este protocolo es que para la gran mayoría de los usuarios es muy complejo y las empresas solo empiezan a trabajar directamente sobre este cuando tienen redes propias de gran tamaño.
Un ejemplo de ataque a través de este protocolo fue el de la filtración de información de carteras que almacenan criptomonedas, tal y como señaló el proveedor Cloudflare. En general, el ciberatacante logra “engañar” a la red para redirigir los prefijos IP de la empresas o usuarios y cuando estas responden para enviar información, esta información pasa a filtrarse al ciberatacante.
NTP
El Protocolo NTP (Network Time Protocol) se utiliza principalmente para sincronizar los relojes de los ordenadores en una red. Sin embargo, las versiones antiguas del protocolo en algunas redes tienen además un servicio de monitorización que permite a los administradores recopilar una lista de los 600 hosts (anfitriones) que se han conectado al servidor, a través de un comando denominado “Monlist”. Los ciberatacantes aprovechan esta característica haciendo un “ataque de reflejo”: envían un paquete con una dirección IP falsa mediante la que obtienen la lista del comando “Monlist”. Después, lo amplifican realizando un ataque de denegación de servicio (DDoS) que puede dejar en fuera de juego temporalmente la conexión de todas las direcciones de hosts de la lista.
FTP
Aunque se utiliza cada vez más el protocolo HTTP para la transferencia de archivos, el antiguo protocolo FTP (File Transfer Protocol) sigue presente en muchos sistemas y empresas. Dado que originalmente no se diseñó como protocolo de transferencia seguro, presenta muchas vulnerabilidades que aprovechan los atacantes. En este sentido, el año pasado el FBI alertó de un ataque a servidores FTP de hospitales y clínicas dentales para acceder a los historiales sanitarios de los pacientes, sacando partido de una vulnerabilidad que utiliza un modo de anonimato del FTP: a los servidores FTP más antiguos se puede acceder con un nombre común de usuario como “anonymous” o “ftp”, sin necesidad de introducir una contraseña o un nombre de usuario.
Cómo evitar los ataques a través estos protocolos
Como comentamos anteriormente, estos protocolos son de uso menos común que el HTTP por parte de los ciberatacantes, pero no por ello dejan de suponer un riesgo para las empresas. Por ello, las organizaciones deberían seguir unas determinadas pautas generales para prevenir los ataques a través de ellos:
- Adopción de las normas MANRS: las normas MANRS(Mutually Agreed Norms for Routing Security) consisten en una iniciativa conjunta creada por los operadores de Red y puntos neutros (IXPs) con el fin de desarrollar una mayor seguridad en el enrutamiento para evitar, entre otros, los ataques BGP. Una gran empresa que tenga un control amplio sobre sus redes y nodos debería adoptarlas.
- Actualización de las redes y sus protocolos: los ataques más comunes a través de los protocolos NTP se producen porque son versiones antiguas. Lo mismo ocurre con los protocolos FTP, ya que es un protocolo primitivo que por defecto no estaba diseñado con encriptación en su intercambio de archivos (para ello existen los modos encriptados: FTPS). Los equipos de IT de las empresas deben utilizar los modos de estos protocolos más actualizados para evitar ciberataques potenciales.
- Correcta configuración de los servidores: un servidor FTP mal configurado puede permitir la entrada de un ciberatacante si se conecta en modo anónimo. Una configuración del servidor FTP que exija una contraseña segura de acceso ya supone una barrera más compleja para el atacante. De la misma manera, el protocolo NTP puede dejar al descubierto su lista de hosts si no tiene bien configurados sus métodos de acceso.
- Solución de ciberseguridad avanzada: además de todo lo anterior, es imprescindible que las empresas de cualquier tamaño cuenten con una solución de ciberseguridad avanzada, activa en todos los endpoints y que sea capaz de prevenir, detectar y neutralizar los ataques en todo momento.