El Internet de las Cosas, causante del reciente ciberataque a la empresa de servicios de DNS Dyn

El ciberataque a un importante proveedor de servicios de DNS hizo tambalear la estabilidad global de Internet y cortó el acceso a varios de los sitios web más populares del mundo.

Ayer era difícil, acceder en su totalidad a una serie de servicios en la red por causa de un importante ataque DDoS vertido contra la empresa de servicios de DNS Dyn, y que afectó a actores como Twitter, Amazon, CNN, Reddit, PayPal, Spotify, AirBnB y Netflix, entre otros, como consecuencia de tres ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés) contra la compañía Dyn, un importante proveedor de servicios de DNS (Sistema de Nombres de Dominio).

El primer ataque contra el servidor con base en Nuevo Hampshire, EE.UU., se produjo el viernes por la mañana, pero Dyn logró resolver el problema en pocas horas. Sin embargo, luego se produjeron dos ataques más durante la tarde. No fue hasta las 18:30, hora del este, que se resolvió el problema del acceso a Internet que afectó a más de 1.000 millones de usuarios en todo el mundo, aunque inicialmente se limitó a los de la costa este de Estados Unidos.

Captura de pantallaLevel3 DDoS Map
Captura de pantallaLevel3 DDoS Map

Ahora, con las aguas más calmadas y con la mayoría de los servicios recuperados, es momento de buscar culpables, y parece que los dispositivos englobados dentro del Internet de las Cosas han sido los vehículos utilizados para hacer este ataque.

Todavía no se tienen muchos detalles sobre este ataque, que aún se está investigando (incluso por el FBI).

Ejemplos de componentes que vende Xiongmai Technology
Ejemplos de componentes que vende Xiongmai Technology

Con todos estos datos sobre la mesa, y tras horas de cierta calma, la firma de seguridad Flashpoint asegura conocer qué dispositivos están detrás del mismo: un “ejército” de cámaras IP y dispositivos grabadores infectados con un malware que permite a los atacantes controlarlos remotamente y dirigir tráfico sin parar hacia un objetivo (en este caso, Dyn).   La mayoría de estos dispositivos parecen fabricados por la empresa china Xiong Mai Technology, que vende sus productos a otros fabricantes para que lo comercialicen a nivel mundial. Si bien no se refieren a ningún fabricante concreto, Dyn también ha confirmado que “una gran parte” del tráfico del ataque procede de dispositivos IoT, algo que también asegura Level3. Sí, los dispositivos IoT se están convirtiendo en el arma preferida de los que organizan DDoS a nivel global.

¿Por qué usar dispositivos IoT en los ataques?

Existe una herramienta, de nombre Mirai, que permite escanear Internet en busca de dispositivos desprotegidos o que utilizan las claves que el fabricante impone por defecto en sus productos, los infecta y permite controlarlos a distancia para coordinar ataques.
Existe una herramienta, de nombre Mirai, que permite escanear Internet en busca de dispositivos desprotegidos o que utilizan las claves que el fabricante impone por defecto en sus productos, los infecta y permite controlarlos a distancia para coordinar ataques.

Pero, ¿por qué son tan vulnerables los dispositivos del Internet de las Cosas? Básicamente se tratan de dispositivos con una seguridad menor ante ataques, con lo que son más fáciles de controlar de forma remota, además la mayoría cuentan con unas claves de seguridad generales que pueden ser filtradas en cualquier momento y accesibles a personas ajenas. Siempre es recomendable que todos nuestros aparatos del hogar que hagan uso de Internet, tengan una contraseña de acceso totalmente original cambiando la que nos dan por defecto.

¿Qué es un ataque DDoS?

Como apunta el portal Ars Technica, para entender cómo se llevó a cabo este ataque es importante entender cómo funciona un proveedor de servicios de DNS, como Dyn. Este tipo de empresas administran la conexión a la Red de grandes compañías ‘online’ y se encargan de gestionar las direcciones de las páginas web. Es decir, al escribir el nombre de un sitio web, el usuario solicita al DNS conectarse a un servidor específico.

Los ataques DDoS inundan los servidores con demasiado tráfico y datos inservibles en este caso, los de Dyn e impiden a los usuarios acceder a las páginas. Una vez sucedido esto, el servidor no puede manejar la enorme cantidad de solicitudes.

Es como si de repente llegan a una carretera dos millones de coches. ¿Qué ocurre? Se colapsa.

En los ataques DDoS, los ‘hackers’ aplican un nuevo enfoque para perturbar la estabilidad de Internet, utilizando un código maligno especial llamado ‘malware’. Según el portal, este código se infiltra en el Internet de la cosas (un concepto que se refiere a la interconexión digital de objetos cotidianos con Internet) a través de dispositivos comunes como cámaras web, grabadoras digitales y hasta una máquina de café si está conectada a la Red.

“Los ataques DDoS son bastante simples de originar, pero mucho más complejos de parar”

¿Quién está detrás?

Según informa Reuters, el Gobierno de EE.UU. investiga si se trató de un “acto criminal”. Por su parte, el portavoz de la Casa Blanca, Josh Earnest, confirmó que el Departamento de Seguridad Nacional está “monitoreando la situación” e investigará en profundidad estos ciberataques.

En base a lo que publicó en su cuenta de Twitter el activista web Gissur Simonarson, el grupo New World Hackers se habría atribuido la responsabilidad de la operación. Según Simonarsson, los ‘hackers’ afirman que “el ataque es una prueba de su poder de ataque” y que “su enemigo principal es Rusia”. Cabe mencionar que el grupo ya había llevado a cabo ataques DDoS, como el efectuado contra el portal de la BBC el año pasado.

Los ataques llegaron desde varias partes el mundo, y según Reuters, tanto el FBI como el Departamento de Seguridad Nacional han anunciado que están investigando el hecho. Asimismo, funcionarios de los servicios de inteligencia de EE.UU. afirmaron a NBC News que “no sabían quién era el responsable de los ataques”, aunque una fuente sostuvo que la participación por parte de Corea del Norte había sido descartada.

Por su parte, WikiLeaks insinuó en su cuenta de Twitter que la caída de Internet supuestamente estaba relacionada de algún modo con partidarios suyos: “El señor Assange está vivo y WikiLeaks está publicando. Les pedimos a nuestros partidarios que dejen de cortar el acceso a Internet en EE.UU. Han demostrado su punto de vista”.

mm

Redacción online de la edición EBS News y RevoluTegPlus News