El pasado viernes 21 de Octubre tuvo lugar un gran ciberataque de denegación de servicio distribuida (DDoS) que afectó a un gran número de los principales proveedores de servicios en Internet, como Twitter, Spotify, The New York Times, Xbox, Paypal o Tumblr, entre otros. Este ataque fue enfocado sobre los servidores DNS de la compañía Dyn, que proporciona el soporte a la resolución de nombres de dominio de estas compañías, bloqueando el contacto entre los usuarios y los proveedores.
Según declaraciones de Kyle York, Chief Strategy Officer de Dyn, fue uno de los ataques más potentes de la historia ejecutado por una botnet (conjunto de dispositivos vulnerados y controlados remotamente) y que involucró, según datos de Dyn, a aproximadamente 10 millones de direcciones IP, es decir, 10 millones de dispositivos diferentes realizando peticiones maliciosas de forma sostenida contra su infraestructura.
El complejo ataque se compuso de tres oleadas diferentes, con un primer ataque ejecutado a las 7:00 am ET, que afectó a los usuarios de la costa Este de Estados Unidos y que tardaron dos horas en mitigar. A continuación, sobre las 12:00h, se produjo una segunda oleada más global y que no se limitó únicamente a esta región. En esta ocasión el servicio fue restaurado en una hora. Por último hubo un tercer ciberataque, que en esta ocasión fue bloqueado rápidamente gracias a las medidas tomadas por el equipo de respuesta a incidentes de Dyn.
El ataque ha sido atribuido al grupo hacktivista “New World Hackers”, que estaría detrás de la botnet Mirai, que cuenta con más de 100.000 dispositivos IoT (Internet of Things o Internet de las Cosas) entre sus equipos controlados.
Pero, ¿por qué se han utilizado dispositivos IoT para la realización de esta ciberataque? Estos dispositivos, cómo pueden ser los smart TVs, smartwatches, cámaras, etc., suelen funcionar bajo el protocolo UDP, en lugar del TCP. UDP es un protocolo más sencillo de implementar durante los procesos de desarrollo de los productos y además acelera la velocidad de conexión entre estos dispositivos y los servidores con los que interactúan para dar servicio a sus usuarios, debido a que no es necesario el establecimiento de una conexión entre origen y destino para que se produzca un envío de datos.
Esto posibilita que un dispositivo hackeado que funcione bajo el protocolo UDP sea mucho más rentable para los atacantes, ya que pueden aumentar en gran medida la potencia de sus ciberataques. Este hecho se ve acrecentado por la falta de medidas de seguridad en numerosos dispositivos IoT, lo que permite diariamente a los ciberatacantes hackear miles de dispositivos que no cuentan con unas barreras adecuadas debido a la falta de inversión en sus ciclos de vida de desarrollo. Esto evidencia la importancia de tener en cuenta la seguridad como uno de los aspectos clave.
¿Qué pueden hacer las compañías para evitar este tipo de problemas?
El ciberataque sufrido recientemente por todas las compañías citadas anteriormente fue producido mediante un ataque a un tercero, Dyn, su proveedor de DNS. El problema fue solventado en esta ocasión por las capacidades técnicas del proveedor para paliar un ataque de esta magnitud en un tiempo total de aproximadamente tres o cuatro horas.
Sin embargo, es necesario ahondar en el problema acontecido. ¿Qué ocurriría si en el futuro se realizase un ataque con 100 o 500 millones de dispositivos? Se trata de una posibilidad bastante factible si se tiene en cuenta que hace tres semanas fue registrado un ciberataque de DDoS que superó el Terabyte (por segundo). Probablemente ningún proveedor podría frenar un ataque de esta magnitud en un tiempo razonable.
El principal problema en este tipo de situaciones se encuentra en el origen, ya que numerosas organizaciones carecen de servicios redundados, lo que lleva a una gran limitación al contar con un único punto de fallo en la conectividad hacia internet.
Por otro lado, y en lo referente a cómo los ciberatacantes lograron vulnerar tantos dispositivos para la construcción de su botnet, es importante tener en cuenta que muchos fabricantes no tienen en cuenta la ciberseguridad en el desarrollo de sus tecnologías, dando lugar a productos que carecen de unas garantías de seguridad básicas. Un dispositivo inseguro es un oasis en el desierto para los delincuentes, esperando a ser vulnerado por ciberatacantes que harán de él un lugar en el que camuflar sus ataques o del que sustraerán valiosa información con la que comerciar en los mercados underground de Internet.
La única manera de garantizar unas medidas de seguridad mínimas al lanzar un nuevo producto al mercado es teniendo en cuenta la ciberseguridad durante todo el ciclo de vida de estos productos, desde su diseño inicial, hasta su obsolescencia. Por desgracia, no todos los fabricantes tienen en cuenta estas medidas básicas, que resultan omitidas en aras de lanzar un producto más rápidamente que la competencia o abaratar sus costes de fabricación.
Juan Antonio Calles es Senior Manager del Departamento de Ciberseguridad de KPMG España
La certificación tipo es un procedimiento reconoc...
La gestión de riesgos es hoy crítica para la fij...
Si piensas en productos de consumo, es probable qu...
