Análisis de amenazas

Predicciones para 2019: El internet de las cosas (vulnerables)

Threat Intelligence Team, 1 febrero 2019

Los expertos de Avast nos guían a través de las amenazas más peligrosas del próximo año, en la primera parte de nuestras predicciones para 2019.

Una cadena será tan fuerte como lo sea su eslabón más débil. Esto también es cierto en el mundo de la seguridad. Este año, hemos seguido el rastro de una creciente amenaza que se ha convertido en tendencia: el hecho de que cuando tan solo un dispositivo en un hogar o en un pequeño negocio (habitualmente el router) se ve comprometido, es fácil que el resto de dispositivos en la red se vean comprometidos también. Con los dispositivos conectados, lo que conocemos como el «internet de las cosas», en un crecimiento más rápido que cualquier otra categoría de dispositivos en la historia, es cada vez más difícil comprar electrodomésticos y artículos para el hogar que no cuenten con una conexión a internet.

Desde luces conectadas a cafeteras y desde altavoces inteligentes a cierres de puertas, los dispositivos de IoT seguirán impulsando un tipo de ataques dirigidos a explotar sus debilidades de configuración, los errores de seguridad y la escasa interacción de los consumidores con sus configuraciones. Por consiguiente, el tema principal de nuestras predicciones se basa en la facilidad con la que la infiltración en un dispositivo de IoT puede conducir a la penetración del perímetro en el que residen los dispositivos de IoT con módems en riesgo.

Al iniciar este nuevo año, publicamos una serie en tres partes sobre las predicciones para 2019. Hablaremos de las amenazas a dispositivos de IoT, móviles y de IA en estos artículos, todos elaborados con el conocimiento y el análisis de nuestro Equipo de Inteligencia de Amenazas de Avast. En este primer artículo, ponemos el foco en nuestras predicciones sobre las amenazas más importantes a dispositivos de IoT para el año del 2019, incluyendo amenazas del 2018 que continúan presentando retos.

avast-protection
Resumen de intentos de ataques en 2018 por dispositivo y tipos de ataques bloqueados cada mes

El internet de las cosas (vulnerables)

La categoría IoT se está expandiendo rápidamente, y por una buena razón; aunque una persona habitualmente solo tiene un equipo portátil y un teléfono móvil, también tiene varios dispositivos conectados en su casa, desde el timbre de la puerta a dispositivos de entretenimiento y la seguridad de su hogar. De acuerdo con un estudio de Juniper Research, se espera que el número de dispositivos conectados alcance los 38.500 millones en el año 2020.

Echemos un vistazo a las marcas y servicios que un hogar inteligente como este puede integrar:


Avast_Security_Predictions_Smart_Home

La tendencia hacia los dispositivos inteligentes será tan pronunciada durante los próximos años que será difícil comprar electrodomésticos o artículos electrónicos para el hogar que no estén conectados a internet.

Desgraciadamente, nuestro estudio ha demostrado que frecuentemente la seguridad es un concepto que se deja para el final en el proceso de fabricación de estos dispositivos. Aunque muchos de los dispositivos inteligentes de las marcas más populares cuentan con una seguridad integrada razonable, algunos desarrolladores ahorran en seguridad para mantener precios asequibles para los consumidores, un error teniendo en cuenta que un hogar inteligente será solo tan seguro como lo sea su eslabón más débil. La historia tiende a repetirse y, de la misma forma que el malware para PC y teléfonos móviles ha evolucionado, veremos cómo el malware para dispositivos de IoT se vuelve más sofisticado y peligroso.

Ataques a routers

Cualquier persona cuyo hogar esté conectado a internet posee un router al que están conectados sus PC, teléfonos y dispositivos de IoT. Los routers son omnipresentes e importantes, pero raramente siguen los últimos estándares en seguridad. De hecho, una vez que el proveedor de internet ha instalado el router, la mayoría de personas nunca vuelven a pensar en él, a no ser que experimenten fallos en la señal de internet.

El estudio de Avast muestra que el 60 % de los usuarios en el mundo, o bien nunca se han conectado a su router o nunca han actualizado el firmware del router, dejándolo potencialmente vulnerable a ataques bastante simples. El principal problema es que cuando un atacante utiliza una vulnerabilidad conocida o una debilidad de las credenciales de autenticación para acceder a un router, no solo consigue tener acceso al router, sino también a todos los dispositivos conectados a su red.

Se ha comprobado que los routers son dianas sencillas y productivas para una serie creciente de ataques. Aunque muchos ataques contra los routers utilizan variantes basadas en el código base Mirai (que su creador lanzó poco después de los exitosos ataques en septiembre de 2016), muchos otros son bastante más complejos y apuntan hacia un futuro oscuro para la seguridad de las redes domésticas.

En 2018, no solo hemos observado un aumento del malware basado en routers, sino también cambios en las características de estos ataques. Mientras que el malware basado en router tradicionalmente ha invadido un dispositivo con el propósito de llevar a cabo un ataque DDoS, como los ataques Mirai, los ataques de hoy día utilizan malware para infectar un dispositivo y abrir una línea de comunicación a un C&C (servidor de dirección y control), sin realizar ninguna acción inmediata.

Esto lo hemos visto con VPNFilter y Torii; una vez que el router se ha infectado, estas cepas de malware escuchan el tráfico de la red, determinan la huella digital de la red y de los dispositivos en ella y permiten que el C&C envíe nuevas remesas de instrucciones al dispositivo. En este caso, el malware actúa más como una plataforma y menos como un virus. Esta plataforma de malware abre muchas posibilidades, como el pago por instalación, así como DDoS de alquiler o incluso el correo basura de toda la vida.

Efectos de bajada de las vulnerabilidades del router

Los routers continuarán siendo el objetivo, no solo para ejecutar código malicioso o para espiar a usuarios, sino también para ser usados como un vínculo intermedio en ataques en cadena. En el caso de las campañas Mikrotik, una simple reconfiguración del router acabó afectando a toda la red interna. El malware cargó mineros de JavaScript en todos los navegadores detrás del router.

Este ataque mostró también una tendencia más preocupante, ya que estos routers no solo están en nuestros hogares, sino que también son utilizados por muchos pequeños proveedores de internet. Existen muchas posibilidades de que un router infectado se extienda a cientos o miles de dispositivos de bajada. Además, sería muy difícil averiguar de dónde procede la infección.

Más malware modular de IoT

De la misma forma que el malware de PC fue muy simple en sus inicios, la mayoría del malware se ha construido con un fin muy concreto, como reunir botnets para un ataque DDoS. Pero al igual que el malware de PC, el malware de IoT aprenderá y adaptará su modus operandi de malware «de un solo truco» a plataformas de malware multifunción capaces de sustentar campañas organizadas de pago por instalación.

Existen ventajas en la estrategia de infectar y después mantener un perfil discreto en lugar de sacar partido inmediatamente de la red. Después de tener bajo control un número elevado de dispositivos de IoT, los creadores de malware pueden redefinir la función de sus bots para hacer lo que deseen (o lo que les resulte más beneficioso).

Técnicas de expansión más sofisticadas

Cada vez más, vamos a ver malware que infectará los dispositivos de IoT desde el navegador. Los ataques a ordenadores personales y teléfonos móviles basados en el navegador, llamados Cross Site Request Forgery, se encuentran disponibles pero no son muy frecuentes. En este escenario, un usuario visita una página con JavaScript malicioso, que analizará la red local del usuario, encontrará un dispositivo vulnerable y lo infectará. Sería una excelente manera de infectar un dispositivo que no esté visible en internet, por ejemplo un dispositivo detrás de una NAT (traducción de direcciones de red).

Malware de IoT como proxy

Actualmente, los creadores de malware obtienen beneficios económicos de sus acciones a través de la minería de criptomonedas o ataques DDoS de alquiler, pero este no es el enfoque más beneficioso. Creemos que los creadores de malware comenzarán a infectar dispositivos cada vez más poderosos e interesantes, como teléfonos móviles, tabletas y PC.

Un ejemplo sería infectar el router para inyectar JavaScript o cualquier otra remesa maliciosa en el tráfico que se proporciona al usuario. También se podría utilizar como un proxy para conectarse y realizar ataques en otros usuarios de internet o dispositivos. Mediante la utilización de una cadena de dispositivos infectados que prácticamente no cuentan con funciones de inicio de sesión, los atacantes pueden ocultar su ubicación original, de la misma forma que funcionan los proxys anónimos.

El malware de IoT abandonará la arquitectura x86

La arquitectura x86 es una de las configuraciones de instrucciones compatibles con versiones anteriores más común y ha estado en uso desde que Intel la introdujo a finales de los 70. Sin embargo, a medida que estén disponibles más dispositivos que operen en infraestructuras alternativas, es lógico que los creadores de malware dejen de incluir el nivel x86 para conseguir que el hecho de crear ingeniería inversa sea más difícil para los proveedores de seguridad. Existen muchos entornos de prueba para PE (ejecutables compatibles) y ELF (formatos ejecutables y de enlace) x86, pero la mayoría de ellos tienen dificultad para soportar otras arquitecturas.

A pesar de las advertencias que llevan implícitas estas predicciones, creemos que el floreciente universo de dispositivos de IoT hace que este sea un momento apasionante en nuestra evolución tecnológica. Simplemente, asegúrese de actuar con inteligencia y tenga en cuenta la seguridad con todos los nuevos dispositivos que entren en su vida. Para estar más preparado para afrontar el panorama tecnológico que se acerca, descargue y lea el informe completo de Predicciones de Avast para 2019.