Se ha filtrado en línea una lista que contiene información de inicio de sesión de 515,000 dispositivos

Las noticias de ciberseguridad tienden a estar dominadas por brotes de ransomware que acaparan los titulares y campañas de criptojacking paralizantes no solo porque se encuentran entre los tipos de ataques más comunes, sino también porque son excelentes historias. Sin embargo, existe otro tipo de delito cibernético que puede ser igual de destructivo pero que a menudo se deja fuera de la atención de los medios de comunicación.

Los ataques distribuidos de denegación de servicio (a menudo abreviados como DDoS) no son especialmente espectaculares, y se podría argumentar que, en comparación con el ransomware, el proceso de recuperación que deben realizar las víctimas de DDoS es mucho más corto y mucho menos costoso. Sin embargo, como demostró el ataque al proveedor de DNS Dyn de octubre de 2016, DDoS puede ser un arma muy poderosa. Gracias a una lista de credenciales de inicio de sesión que se filtró la semana pasada, usarla ahora podría ser mucho más fácil.

Un cibercriminal pierde más de medio millón de combinaciones de nombre de usuario y contraseña

Catalin Cimpanu, de ZDNet, informó el domingo que un ciberdelincuente no identificado ha utilizado "un foro de piratería popular" para descargar un enorme tesoro de datos de inicio de sesión. Repartido en varios archivos TXT, contiene las direcciones IP y los nombres de usuario y contraseñas de Telnet que supuestamente pueden permitir a los ciberdelincuentes hacerse cargo de no menos de 515 mil puntos finales conectados a Internet. La mayoría de ellos son dispositivos IoT.

Teli, como algunos de ustedes recordarán, también fue utilizado por Mirai, el malware que recopiló una gran cantidad de dispositivos IoT en una botnet masiva y lo usó para lanzar algunos de los ataques DDoS más grandes de la historia, incluido el de Dyn. Es un protocolo de comunicación lamentablemente desactualizado, y tiene algunas vulnerabilidades de seguridad que lo hacen inadecuado para su uso en la actualidad. Sin embargo, los proveedores de IoT continúan empleando Telnet, y los piratas informáticos no necesitan segundas invitaciones.

La persona que filtró los 515 mil nombres de usuario y contraseñas le dijo a ZDNet que había utilizado los datos de inicio de sesión para reclutar los dispositivos en una botnet, que luego alquiló a otros ciberdelincuentes con el fin de lanzar ataques DDoS. Este tipo de negocio es bastante popular en el ciber underground, y algunos delincuentes están ganando bastante dinero, mientras que otros terminan tras las rejas.

Sin embargo, la persona que filtró los 515 mil pares de nombre de usuario y contraseña no lo hizo porque tenía miedo de meterse en problemas. Lo hizo porque había mejorado su configuración y ya no necesitaba los datos. Aparentemente, él cree que su negocio es exitoso porque le dijo a ZDNet que de ahora en adelante, su servicio DDoS para alquiler dependería de servidores de alto rendimiento alquilados a proveedores de servicios en la nube.

Es posible que los departamentos de abuso de dichos proveedores en la nube quieran prestar más atención a quién está usando sus servidores de ahora en adelante porque la actualización de dispositivos IoT a hardware realmente poderoso va a generar ataques DDoS mucho más sustanciales. Mientras tanto, necesitamos volver a las credenciales filtradas y ver qué tipo de daño pueden hacer.

¿Qué tan peligrosos pueden ser los nombres de usuario y las contraseñas filtrados?

Como ya mencionamos, la lista de IP, nombres de usuario y contraseñas se publicó en un foro de piratería, lo que significa que los posibles cibercriminales que planean lanzar un ataque DDoS ni siquiera necesitan ir a la llamada web oscura o pagar dinero para obtener lo que necesitan. Sin embargo, las cosas podrían no ser tan simples como eso.

Después de descubrir los datos, Catalin Cimpanu los descargó, pero por razones legales, decidió no confirmar su validez iniciando sesión en los dispositivos de las personas desprevenidas. Sin embargo, debe decirse que al menos algunas de las credenciales y direcciones IP pueden dejar de ser utilizables. Además, Cimpanu ha compartido la información con investigadores de seguridad que están en el proceso de descubrir a los propietarios de algunas de las direcciones IP e informarles de la fuga. En otras palabras, es difícil decir cuán peligrosos son los datos expuestos. Lo que sí sabemos con certeza es cómo terminó donde está ahora.

Recopilar la información que permitiría comprometer más de medio millón de dispositivos no requirió ningún pirateo real. Obtener las IP es tan fácil como ejecutar un escaneo a través de un motor de búsqueda especializado, y en cuanto a los nombres de usuario y contraseñas, hay dos tipos de ellos. Algunas son las credenciales predeterminadas con las que los dispositivos salen de las cajas, y el resto son nombres de usuario y contraseñas personalizados pero fáciles de adivinar que los propietarios de los dispositivos han establecido.

Esto destaca el verdadero problema. Muchas personas argumentan que la proliferación de dispositivos IoT está haciendo que los ataques DDoS sean más fáciles, pero la verdad es un poco diferente. El problema no radica en el creciente número de dispositivos en nuestra red Wi-Fi. Se basa en el hecho de que no estamos dispuestos o no podemos asegurarlos adecuadamente.