lunes, 24 de octubre de 2016

¿Cómo se produjo el ciberataque simultáneo a Twitter, Spotify, PayPal y Yammer, entre otros?

El viernes pasado se registró uno de los mayores ciberataques en los últimos 10 años, el cual afectó a más de mil millones de clientes en todo el mundo y se inició en la costa este de Estados Unidos. La compañía Dyn, uno de los principales servidores de direcciones de dominio (DNS), fue saturado con tráfico falso por el grupo autodenominado “New World Hackers”, cuyos miembros están distribuidos por Rusia y China, quienes se adjudicaron el golpe con el fin de probar su poder.

Este tipo de ataque es denominado usualmente como “ataque de denegación de servicio distribuido” (DDoS), causando la interrupción del servicio de páginas web de –en este caso– grandes compañías y medios de comunicación internacionales, así como Twitter, Spotify, CNN, Infobae o The New York Times.

Internet de las Cosas, el “culpable”

Los primeros informes de expertos han señalado que el principal culpable de este ciberataque es el Internet de las Cosas. Según investigadores de la compañía de seguridad informática Flashpoint, el ataque en cuestión fue lanzado desde una botnet basada en el malware Mirai para explotar una vulnerabilidad en sus firmwares y sistemas operativos.

Cabe recordar que Mirai fue publicado bajo una licencia de software libre, por lo que cualquier persona puede obtenerla y usarla para dirigir ataques coordinados y masivos de denegación de servicio. Este malware es capaz de afectar a dispositivos electrónicos ­–tales como impresoras, cámaras o routers caseros– y es muy efectivo, ya que muchos de éstos equipos funcionan con el usuario y contraseña asignado de forma predeterminada.


La situación actual es especialmente grave, ya que la mayoría de los dispositivos afectados con Mirai provienen de un mismo proveedor, XiongMai Technology, una compañía china que vende componentes electrónicos, muchos de los cuales son dispositivos del Internet de las Cosas.

Según esta empresa, las vulnerabilidades de seguridad que se dieron fue culpa de las contraseñas débiles que poseían sus aparatos inteligentes. “Mirai es un desastre enorme para el Internet de las cosas”, dijo la organización en un email dirigido a IDG News Service. A partir de ahora, pedirán a sus clientes que cambien la contraseña, además de actualizar el firmware del producto o desconectarlo de Internet, si se trata de alguna versión antigua que haya sido afectada.

De acuerdo con Lever 3 Network, los tres países con mayor concentración de dispositivos de Internet de las Cosas (IoT) y que, por tanto, probablemente contribuyeron por su nivel de tráfico a este tipo de ataque, fueron Estados Unidos (28%), Brasil (23%) y Colombia (8%).

La lista de afectados

El malware Mirai también parece apuntar a productos IoT de otros proveedores que utilizan contraseñas débiles por defecto en sus dispositivos. Los expertos en seguridad se han dado cuenta de que el malware intenta una lista de más de 60 combinaciones de nombres de usuario y contraseñas. Aunque Dyn logró defenderse de los trastornos y restaurar el acceso a su servicio, las redes de bots que funcionan con Mirai podrían atacar de nuevo fácilmente.

La lista de web que estuvieron caídas por el ciberataque fueron: Twitter, The New York Times, Boston Globe, CNN, Infobae, Reddit, Spotify, Esty, Box, Wix, Customer Sites, Squarespace Customer Sites, Zoho CRM, Iheart.com (iHeartRadio), Github, The Verge, Cleveland.com, hbonow.com, PayPal, Big cartel, Wired.com, People.com, Urbandictionary.com (lol), Basecamp, ActBlue, Zendesk.com, Intercom, Twillo, Pinterest, Grubhub, Okta, Starbucks rewards/gift cards, Storify.com y Yammer, entre otros.