Millones de dispositivos mal configurados pueden ser utilizados para realizar ataques contra el comercio electrónico y otros portales web.
Según un informe realizado por Akamai Technologies, existen millones de dispositivos que no están configurados correctamente y pueden enviar mensajes que permiten a los ciberdelincuentes realizar ataques contra el comercio electrónico y páginas web de diversa índole.
Ryan Barnett, experto de la unidad de investigación de amenazas de Akamai, afirma que se trata de un problema muy conocido que lleva produciéndose más de una década.
La primera vez que este asunto llamó la atención de Akamai tuvo lugar cuando la red de distribución de contenido que posee y opera la compañía detectó ataques contra sus consumidores; los atacantes estaban realizando determinadas combinaciones de nombres de usuario y contraseñas para comprobar si eran válidas.
Las credenciales procedían de brechas de seguridad como la que ha sufrido Yahoorecientemente, con un robo de 500 millones de cuentas. Dado que muchas personas reutilizan sus contraseñas, los ciberdelincuentes prueban a utilizar en otras páginas web las que han sido robadas para verificar si funcionan.
“Estábamos viendo grandes, grandes picos”, asegura Barnett. Los ataques se lanzaban desde millones de direcciones IP diferentes, y cuando el equipo de respuesta ante incidentes de seguridad informática de Akamai los revisó más de cerca, encontró que el mismo patrón se repetía una y otra vez.
“Fueron formateados todos exactamente igual, pero el nombre de usuario y la contraseña eran diferentes”, explica Barnett. “Así que supimos que esto probablemente estaba siendo controlado por una sola entidad”, continua.
Akamai comenzó a rastrear los mensajes de los dispositivos mal configurados y detectó que las mismas direcciones IP estaban golpeando múltiples páginas web. “Cuando las mapeamos es cuando fuimos capaces de ver que se trataba de sistemas IoT”, asegura Barnett.
El problema de la configuración es doble. El primero de ellos se encuentra en la configuración que viene por defecto para iniciar sesión, la cual suele ser “admin” y “admin”; los fabricantes deberían obligar a los usuarios a cambiar nombre y contraseña en el momento en el que instalen sus dispositivos.
El segundo problema está relacionado con la configuración del Protocolo de Control de Transmisiones (TCP). Dicho protocolo se origina con el sistema operativo Linux que los fabricantes de dispositivos utilizan porque es gratis y adecuado. Además, es útil cuando Linux se utiliza para ejecutar los servidores. Algunos fabricantes intentan asegurar la esta configuración, pero si el atacante tiene credenciales de acceso válidas podrá sortear las restricciones.