Un ejército de dispositivos zombis, listo para destruir Internet
Dyn es una empresa de nombres de dominio. Dicho así no parece gran cosa, pero el viernes pasado Netflix, Spotify, PlayStation Network, Twitter, The Wall Street Journal o The Guardian se cayeron. Y fue por su culpa. Técnicamente, Dyn es un proveedor de Internet. Se ofrecen como analistas de tráfico para webs, proveedores de correo y de DNS, eso que el otro día saltó por los aires.
Fueron casi 11 horas de pánico. "It's tricky", que dirían los raperos RUN DMC a los empleados de la compañía: en su web lucen una camiseta personalizada donde imitando el logo del mítico grupo, se lee “DYN INC”. Sin embargo, nada pudo salvarnos el viernes. Rondaba el reloj las cinco de la tarde en España cuando un ataque de denegación de servicio, más conocido como DDoS, se llevaba por delante los servidores de Dyn y apagaba la red en medio mundo.
Un ataque DDoS es una sobrecarga. Al igual que la imagen que ilustra este artículo, son millones de peticiones llegando a la vez a un servidor, sin que este pueda procesarlas. Entonces el host cortocircuita y la web queda inutilizada hasta que el tráfico se redireccione hacia otro site o disminuya. Dyn consiguió solventar el problema hacia las doce de la noche en España. Para entonces, la botnet que les atacó ya llevaba unas cuantas horas en casa, contemplando el alcance del ataque.
El Internet de las cosas, sin profilácticos
“Vía TOR, en la Deep Web se puede alquilar una botnet y tirar sitios. Con 150 dólares consigues potencia de fuego para tirar tres horas la página de El País”, cuenta a este diario Yago Jesús, que forma parte del equipo de Security by Default y es uno de los desarrolladores de la estructura de certificación del DNI-E en nuestro país. “Parece que los atacantes buscaban más notoriedad que realmente demostrar fuerza”, continúa.
Una botnet es una red de dispositivos que llevan a cabo tareas de forma autónoma tras ser infectados por un malware. Se le llama también red zombi, precisamente porque no “piensan” como lo haría un dispositivo normal: siguen órdenes de un command and control, un sistema que envía los comandos a realizar desde un lugar remoto.
Los zombis esta vez no eran solo ordenadores. Sabemos que el ataque a Dyn lo integraban routers, televisores, vigilabebés, cámaras web, de vigilancia o frigoríficos. Es posible que hubiera incluso algún osito de peluche. Todos estaban conectados a la red y por eso mismo todos son susceptibles de ser hackeados.
Es lo que se conoce como el Internet de las Cosas, en inglés IoT (Internet of Things). “Ahora mismo hay un despliegue muy grande de este tipo de dispositivos: vienen de serie con una seguridad muy mermada, muy orientada al uso cotidiano”, explica Jesús. Según recoge Statista, en 2020, más de la mitad de los aparatos del hogar estarán conectados a Internet. Actualmente contamos con un 23% de los dispositivos en la Red.
“Muchas veces, usabilidad y seguridad suelen estar peleados, por eso, carecen de medidas de seguridad”. Jesús pone como ejemplo a seguir el de los teléfonos móviles, que se actualizan automáticamente. “En el caso del IoT, estos dispositivos no tienen ese sistema de actualización, de tal forma que cuando se detecta una vulnerabilidad, realizar un parcheo y solucionarla implica muchísima fuerza humana”, explica. “Al final la empresa tiene que ir uno por uno a cada dispositivo y suministrarle la actualización, por lo que el riesgo de que haya dispositivos no parcheados es muy grande”.
La solución ya está inventada
El Internet de las Cosas nos puede poner la música que nos gusta, recomendar un nuevo champú para el pelo, decirnos cuántos yogures tenemos en la nevera o cuándo caducan. Sus dispositivos pueden conectarse a Internet pero no actualizarse: “No conozco ningún router, ni los de gama alta, que ellos solitos se actualicen”, continúa Jesús.
Aunque se ha especulado con que el ataque haya partido desde un Gobierno, de momento no existe ninguna certeza. “En este caso no sabemos quién puede estar detrás, WikiLeaks hizo una especie de reivindicación de sus servidores, pero no queda del todo claro”, explica el editor de Security by Default. Como The Guardian, descarta que en el ataque hayan participado únicamente dispositivos del IoT. “Por la coordinación y el grado de ataque, es probable que hayan intervenido otro tipo de elementos”, afirma.
Si, como apuntan las previsiones, en cuatro años más de la mitad de nuestros dispositivos del hogar estarán conectados a la Red, el ataque del pasado viernes podría servir como toque de atención a los fabricantes de este tipo de aparatos. “Deberían copiar la estrategia de otros dispositivos como teléfonos móviles o sistemas operativos y seguir la misma estrategia: tanto en la investigación como en seguridad y el parcheo”, explica el experto en seguridad informática.
“Aparte de las fantásticas funcionalidades de una nevera que te diga los yogures caducados, los desarrolladores deberían meter además una porción de código para que esa nevera sepa ir solita por Internet, buscarse una actualización o, por lo menos, avisar al usuario”, sentencia Jesús.