Kaspersky ha revelado una alarmante escalada en los ataques dirigidos a dispositivos del Internet de las Cosas (IoT), registrando 1.700 millones de intentos de ataque a nivel mundial. Estos ataques, originados desde 858.520 dispositivos comprometidos, incluyen la detección de una nueva variante del botnet Mirai, una de las amenazas más persistentes y peligrosas para el IoT.
La investigación, llevada a cabo por el Global Research and Analysis Team (GReAT) de Kaspersky, identifica esta nueva versión de Mirai como una de las variantes activas a lo largo de 2024. Los países con el mayor número de dispositivos IoT infectados incluyen a Brasil, China, Egipto, India, Turquía y Rusia.
¿Cómo operan estos ataques?
Para comprender las tácticas de los ciberdelincuentes, Kaspersky empleó honeypots, que son sistemas señuelo diseñados para atraer y analizar el comportamiento de los atacantes en tiempo real. Gracias a estas herramientas, se descubrió que los atacantes explotan vulnerabilidades de seguridad para instalar un programa malicioso (bot) que convierte los dispositivos en parte de una red comprometida, conocida como botnet Mirai. Estas redes permiten a los atacantes coordinar acciones a gran escala, automatizando actividades maliciosas.
En esta ocasión, el objetivo principal de los ataques han sido las grabadoras de video digitales (DVRs). Estos dispositivos, cruciales para la seguridad y vigilancia en hogares, comercios, aeropuertos, fábricas e instituciones educativas, representan un punto de entrada estratégico. Comprometerlos no solo amenaza la privacidad, sino que también puede servir como puerta de entrada a redes más amplias, facilitando la propagación de malware y el lanzamiento de ataques de denegación de servicio distribuido (DDoS), que buscan saturar un sistema o sitio web hasta dejarlo inoperable.
La variante de Mirai detectada en los DVRs incluye mecanismos avanzados para evadir entornos de máquinas virtuales (VM) o emuladores, técnicas comúnmente utilizadas por investigadores para analizar malware. Esto permite que el bot opere de manera más silenciosa y prolongue su permanencia en los dispositivos infectados.
La perspectiva de los expertos
Anderson Leite, investigador de seguridad del equipo GReAT de Kaspersky, señaló:
«El código fuente del botnet Mirai fue publicado en internet hace casi una década. Desde entonces, ha sido adaptado y modificado por distintos grupos de cibercriminales para crear redes de bots a gran escala, enfocadas principalmente en ataques DDoS y secuestro de recursos.»
Leite añadió que la combinación de vulnerabilidades conocidas en servidores y dispositivos IoT sin parches, junto con la amplia presencia de este malware diseñado para sistemas Linux, resulta en miles de bots escaneando constantemente internet en busca de nuevos objetivos. El análisis de fuentes públicas reveló más de 50.000 dispositivos DVR expuestos en línea, lo que subraya las numerosas oportunidades para los atacantes de explotar equipos vulnerables.
Recomendaciones de seguridad
Para reducir el riesgo de infección en dispositivos IoT, Kaspersky recomienda las siguientes medidas:
Cambiar las credenciales predeterminadas: Utilice contraseñas seguras y únicas en lugar de las que vienen de fábrica.
Actualizar regularmente el firmware: Mantenga sus DVRs y otros dispositivos IoT actualizados para corregir vulnerabilidades conocidas.
Desactivar el acceso remoto innecesario: Si no es esencial, desactívelo. De lo contrario, utilice redes privadas virtuales (VPNs) seguras para la administración remota.
Aislar los DVRs en redes separadas: Segmente estos dispositivos en redes dedicadas para limitar el alcance de un posible ataque.
Monitorear el tráfico de red: Esté atento a comportamientos inusuales que puedan indicar una posible infección.
Fuente: Kaspersky
