Las amenazas contra dispositivos IoT se disparan

La proliferación de dispositivos conectados ha permitido la eclosión del internet de las cosas (IoT, por sus siglas en inglés).

Según los datos del último ‘Informe sobre electrodomésticos conectados’ elaborado por Haier, tres de cada diez hogares españoles (29%) tienen ya algún electrodoméstico inteligente.

Además, Statista pronostica que en 2030 habrá 29.420 millones de dispositivos conectados al IoT, casi el doble que este año (15.140 millones).

Esto es un caladero demasiado suculento para que los ciberdelincuentes no quieran echar sus redes y traten de sacar provecho de las vulnerabilidades de este tipo equipos.

Así pues, una reciente investigación de Kaspersky ha descubierto un rápido crecimiento de las amenazas contra los dispositivos IoT, detectando una próspera economía sumergida en la darknet que se centra en servicios relacionados con IoT.

Los ciberdelincuentes se enfocan particularmente en el ataque distribuido de denegación de servicio (DDoS). De hecho, los analistas del servicio Digital Footprint Intelligence de la compañía de ciberseguridad han identificado más de 700 anuncios de servicios de ataques DDoS en varios foros de la dark web durante los seis primeros meses de 2023.

Su coste varía en función de factores como la protección de los sistemas frente a ataques DDoS, ya sea con métodos como ‘captcha’ o la verificación de JavaScript. De media, los anuncios que ofrecían estos servicios presentaban precios entre los 63,5 dólares al día y los 1.350 dólares al mes.

Pero las amenazas no se agotan ahí. En la darknet también se ofrece exploits para vulnerabilidades de tipo zero-day (día cero) en dispositivos IoT, así como malware contra objetos conectados.

El ‘Informe de Ciberamenazas 2023’, elaborado por SonicWall, también anota un crecimiento del 37% de los ataques de malware de IoT, tal y como recogíamos.

En cuanto al malware, los expertos de Kaspersky señalan que existe una gran variedad de familias, muchas de las cuales se crearon a partir de Mirai, botnet descubierta en 2016.

Además, el estudio descubre algo muy curioso. La fuerte competencia entre los ciberdelincuentes ha impulsado el desarrollo de funciones diseñadas específicamente para desactivar el malware del resto de atacantes.

Por ejemplo, estas estrategias incluyen la implementación de firewalls, la desactivación de la administración remota de dispositivos o el cierre de procesos vinculados al malware de otros atacantes.

En cuanto a la manera de infectar a los dispositivos IoT, el método principal son los ataques de fuerza bruta para robar contraseñas débiles, por delante de la explotación de vulnerabilidades de los servicios de red.

Los ataques de fuerza bruta suelen dirigirse contra Telnet (97,9% de todos los intentos registrados en el primer semestre del año), un protocolo no cifrado muy común. Gracias a ello, los ciberdelincuentes pueden acceder a los sistemas mediante el descifrado de claves, lo que les permite ejecutar comandos e instalar malware. Los ataques también afectan a SSH, protocolo más seguro contra los ciberatacantes, pero no invulnerable.

La mayor parte de los ataques se recibieron en China, India y Estados Unidos. Respecto al origen de los mismos, Pakistán, Rusia y China fueron las regiones más activas.

Finalmente, Kaspersky detalla los tipos de malware IoT más frecuentes. En primer lugar figuran las DDoS botnets, programas maliciosos que toman el control de los dispositivos IoT lanzando ataques a un amplio rango de servicios.

Luego tenemos el ransomware, que se enfoca particularmente en dispositivos IoT que contienen datos de usuario, como cajas NAS, por ejemplo, cifrando archivos y exigiendo un rescate por su liberación.

Después están los mineros, instalados en los dispositivos IoT para minar criptomonedos, a pesar del limitado poder de procesamiento que suelen tener estos equipos

Los ciberdelincuentes también utilizan DNS Changers, troyanos que alteran las direcciones DNS de los routers WiFi y redireccionan a los usuarios a sitios maliciosos.

Finalmente, los atacantes emplean proxy bots, haciendo que los dispositivos IoT infectados se conviertan en servidores proxy para redirigir el tráfico malicioso, dificultando así su seguimiento y la mitigación de los ataques.