Los honeypots de Kaspersky, redes de copias virtuales de varios dispositivos y aplicaciones conectados a Internet, han detectado 105 millones de ataques a dispositivos IoT provenientes de 276.000 direcciones IP únicas en los primeros seis meses del año. Esta cifra es nueve veces mayor que la cantidad encontrada en el primer semestre de 2018, cuando solo se detectaron alrededor de 12 millones de ataques procedentes de 69.000 direcciones IP. Aprovechando la débil seguridad de los productos de IoT, los ciberdelincuentes están intensificando sus intentos de crear y monetizar botnets de IoT. Este y otros resultados son parte del informe «Internet of Things (IoT): a malware story” (Internet de las Cosas, una historia de malware), sobre la actividad de los honeypots en el primer semestre de 2019.
Los ciberataques a dispositivos IoT están en auge, ya que aunque cada vez más personas y organizaciones compran dispositivos «inteligentes» (conectados a la red e interactivos), como enrutadores o cámaras de seguridad DVR, no todo el mundo considera que es necesario protegerlos. Sin embargo, los ciberdelincuentes ven cada vez más oportunidades de obtener ganancias en la explotación de dichos aparatos. Utilizan redes de dispositivos inteligentes infectados para realizar ataques DDoS o como proxy de otros tipos de acciones maliciosas. Para obtener más información sobre cómo funcionan estos ataques y cómo prevenirlos, los expertos de Kaspersky prepararon honeypots, dispositivos que actúan como señuelos para atraer la atención de los cibercriminales y analizar sus actividades.
Según el análisis de los datos recopilados en los honeypots, los ataques a dispositivos IoT generalmente no son complejos, sino sigilosos, ya que los usuarios no podrían ni siquiera notar que sus dispositivos están siendo explotados. Mirai,la familia de malware que está detrás del 39% de los ataques, es capaz de aprovechar vulnerabilidades, lo que significa que estas botnets pueden colarse en el dispositivo aprovechando la ausencia de parches y así, controlarlo. Otra técnica es la fuerza bruta en las contraseñas, que es el método elegido por Nyadrop, la segunda familia de malware entre las más extendidas de la lista. Nyadrop fue visto en el 38,57% de los ataques y a menudo su función es descargar a Mirai. Esta familia ha sido una de las amenazas más activas durante un par de años. El tercero entre los botnets más comunes que amenazan a los dispositivos inteligentes es Gafgyt, con 2,12%, que también usa la fuerza bruta.
Los investigadores también pudieron localizar las regiones que se convirtieron en fuentes de infección con mayor frecuencia en el primer semestre de 2019. Estas son China, donde se realizó el 30% de todos los ataques, seguida por Brasil, que vio el 19%, y Egipto (12%). Hace un año, en el primer semestre de 2018, la situación era diferente: Brasil encabezaba la lista con un 28%, China seguía siendo el segundo con el 14% y Japón lo seguía con el 11%.
“A medida que las personas se rodean cada vez más de dispositivos inteligentes, somos testigos de cómo se intensifican los ataques a la IoT. A juzgar por la mayor cantidad de ataques y la persistencia de los delincuentes, podemos decir que IoT es un área redituable para los atacantes que utilizan incluso los métodos más primitivos, como adivinar la contraseña y las combinaciones de inicio de sesión. Esto es mucho más fácil de lo que la mayoría de la gente piensa: las combinaciones más comunes son «support/support«, seguida por «admin/admin», «default/default». Es muy fácil cambiar la contraseña predeterminada, por lo que instamos a todos a dar este simple paso para proteger sus dispositivos inteligentes”, dijo Dan Demeter, investigador de seguridad en Kaspersky.
Para mantener sus dispositivos seguros, Kaspersky recomienda a los usuarios:
- Instalar actualizaciones del firmware que utiliza lo antes posible. Tan pronto se encuentra una vulnerabilidad, puede solucionarse mediante parches incluidos en las actualizaciones.
- Cambiar siempre las contraseñas preinstaladas. Utilizar contraseñas complicadas que incluyan letras mayúsculas y minúsculas, números y símbolos, si es posible.
- Reiniciar el dispositivo enseguida si cree que está actuando de manera extraña. Esto puede ayudar a eliminar el malware existente, pero no reduce el riesgo de contraer otra infección.
Kaspersky recomienda a las empresas que tomen las siguientes medidas:
- Mantener restringido por una VPN local el acceso a los dispositivos IoT, y así podrá acceder a ellos desde su red «doméstica», en lugar de exponerlos públicamente en Internet.
Utilizar fuentes de datos de amenazas para bloquear las conexiones de red que se originan en direcciones de red maliciosas detectadas por investigadores de seguridad.
- Asegurarse de que el software de todos los dispositivos esté actualizado. Los dispositivos que no tienen parches deben mantenerse en una red separada, inaccesible para usuarios no autorizados.
El texto completo del informe está disponible en Securelist.