Hace aproximadamente un año, la botnet Mirai lanzaba un ataque DDoS que dejó sin servicio a medio Internet. Esta botnet, que había pasado desapercibida durante meses, había consiguió tomar el control de millones de dispositivos del Internet de las Cosas, posicionándose como una red zombie de lo más peligrosa. A pesar de que esta botnet no ha dejado de crecer, otras han intentado robarle protagonismo lanzando nuevos ataques informáticos y, justo un año después de sus primeros ataques, parece que una nueva botnet está a la altura de Mirai, y cerca de superarla: IoT_reaper.
IoT_reaper es una nueva red zombie formada, principalmente, por todo tipo de dispositivos del Internet de las cosas. Esta red ha estado creciendo en silencio sin levantar las sospechas de los investigadores de seguridad hasta que fue detectada por primera vez el pasado mes de septiembre. Desde entonces, empresas como Qihoo 360 han empezado a estudiar su funcionamiento y han descubierto que se trata de una red zombie que está creciendo exponencialmente y que en muy poco puede llegar a superar a Mirai, poniendo de nuevo en jaque a todo Internet.
A diferencia de otras botnets, esta no trata de romper contraseñas con diccionario o fuerza bruta, sino que directamente utiliza exploits con los que aprovecharse de un gran número de vulnerabilidades en todo tipo de dispositivos IoT, especialmente de los siguientes fabricantes:
- Dlink (routers)
- Netgear (routers)
- Linksys (routers)
- Goahead (cámaras IP)
- JAWS (cámaras IP)
- AVTECH (cámaras IP)
- Vacron (NVR)
En estos momentos, los expertos de seguridad calculan que esta botnet tiene un total de dos millones de dispositivos, pero su preocupante crecimiento le hace ganar más de 10.000 nuevos «zombies» al día.
Si tenemos en cuenta que Mirai logró tumbar DynDNS con «solo» 100.000 dispositivos IoT, esta nueva botnet puede llegar a ser mucho más peligrosa de lo que cabría esperar.
Cómo proteger nuestros dispositivos para que no pasen a formar parte de IoT_Reaper
Como hemos dicho, esta botnet no «rompe» las contraseñas de los dispositivos en red, por lo que, aunque utilicemos una contraseña segura en ellos, no estarán correctamente protegidos.
Al ser un ataque basado en exploits que se aprovechan de vulnerabilidades, la única solución es instalar las últimas versiones de los firmware de todos estos dispositivos con el fin de que, con suerte, solucionen estas vulnerabilidades e impidan que el exploit se ejecute. En el caso de que nuestros dispositivos estén dentro de una red de empresa, también es posible utilizar técnicas de mitigación avanzadas que analicen la red y bloqueen estos exploits.
Mientras esta botnet sigue creciendo, los expertos de seguridad advierten de otra amenaza similar, llamada IoTroop, que está tomando el control de cientos de cámaras IP de una gran variedad de fabricantes, como GoAhead, D-Link, TP-Link, AVTECH, Linksys y Synology, entre otros.
Es muy posible que pronto veamos cómo alguna botnet vuelve a poner en peligro a Internet, como ha hecho Mirai y como han hecho otras botnets. Y es que, a pesar de los estragos que causan los ataques DDoS, aún no hay ninguna forma realmente eficaz de protegernos de ellos. Y menos cuando su ancho de banda supera las varias decenas de gigabits por segundo.
¿Qué opinas sobre el crecimiento de estas redes de ordenadores zombie?