El ataque DDoS del viernes 21 de octubre que dejó sin servicio a Dyn y por consecuencia a decenas de webs, servicios y varias redes sociales como Twitter, Reddit, Github, Amazon, Spotify y otros fue perpetrado usando una vulnerabilidad existente en millones de accesorios, dispositivos y electrodomésticos conectados a la red, también conocido como el Internet de las Cosas.
Lo confirma Flashpoint Intel, una firma de seguridad informática quienes han concluido que parte de la infraestructura responsable para el ataque de negación de servicio distribuido (DDoS) en contra de Dyn fueron botnets que usaron Mirai para explotar una vulnerabilidad en sus firmwares y sistemas operativos.
Cabe destacar que Mirai fue publicado bajo una licencia de software libre por lo que cualquier persona puede obtenerla y usarla para dirigir ataques coordinados y masivos de denegación de servicio. Mirai es capaz de afectar a impresoras, cámaras de vigilancia o routers caseros.
Mirai es efectivo porque cientos de miles, probablemente millones de dispositivos del internet de las cosas funcionan con el usuario y contraseña asignado de forma predeterminada, en muchos casos tan simples como usuario admin, contraseña admin o contraseñas tipo 123, 12345 o 1111. El malware se aprovecha de esto, accede y los infecta. Con poder computacional suficiente, es posible hacer un scan de cientos de miles de estos dispositivos e infectarlos en pocos minutos para dirigir un ataque coordinado, como el ocurrido el 21 de octubre.
La situación actual es especialmente grave ya que la mayoría de los dispositivos afectados con Mirai provienen de un mismo proveedor, XiongMai Technology, una compañía china que vende componentes electrónicos incluídos en una gran porcentaje de dispositivos del internet de las cosas, según explica Brian Krebs en su blog. El usuario y contraseña predeterminado en estos componentes es root/xc3511. Datos que la mayoría de fabricantes no cambian nunca, reduciendo aún más el nivel de seguridad.
De acuerdo a Level 3 los tres países con mayor concentración de dispositivos de internet de las cosas y por lo tanto las tres regiones que probablemente más tráfico contribuyan a este tipo de ataque son:
- Estados Unidos: 29%
- Brasil: 23%
- Colombia: 8%
Un problema que jamás podrá arreglarse
El ataque DDoS del 21 de octubre es un ejemplo de un futuro cercano y probable en el cual cientos de personas con conocimientos técnicos suficientes usarán millones de dispositivos que jamás son atendidos por sus usuarios. A diferencia de un smartphone, una tablet, una consola de videojuegos o una computadora, los productos del internet de las cosas están diseñados para "conectar y olvidar".
¿Cuándo fue la última vez que nos preocupamos de actualizar el firmware de un router que nos dejó la operadora que nos da internet, de una cámara de seguridad que puede accederse de forma remota vía internet o de una impresora? Probablemente nunca. La situación es bastante grave si consideramos que no hay forma alguna de actualizar o "parchar" fallos en la mayoría de estos dispositivos.
Y aquellos que tienen capacidad de actualización probablemente nunca suceda, pero se quedarán conectados a internet por años. Es un problema tan grave que Bruce Schneier, uno de los mayores expertos divulgadores de seguridad informática pidió el pasado 6 de octubre que el gobierno intervenga para intentar arreglar este inmenso desastre que es la vulnerabilidad en dispositivos de internet de las cosas. Schneier también pide que se impongan regulaciones para prevenir situaciones similares en el futuro:
Cuando los mercados fallan el gobierno es la única solución. Se debería imponer regulaciones de seguridad en fabricantes de dispositivos de internet de las cosas, obligándolos a hacer sus dispositivos seguros aún cuando a sus clientes no les importa. Se podría imponer multas y castigos a fabricantes, permitiendo que personas puedan demandarlos si la seguridad no es la mínima necesaria. Todo esto aumentaría el costo de ser descuidados y daría incentivos a que inviertan en hacer que sus productos sean seguros.
Nadie se ha hecho responsable por lo sucedido el viernes 21 de octubre, porque probablemente se haya hecho por el simple hecho de que es posible hacerse. La situación de inseguridad del internet de las cosas es tan grave que no hacen falta grandes conocimientos técnicos para coordinar a millones de dispositivos y crear un ataque a gran escala. Lamentablemente no hay nada más que podamos hacer.