Consejos

Respuestas a preguntas clave sobre la fuga masiva de datos de Telnet

Stefanie Smith, 23 enero 2020

Un experto de Avast explica lo que los consumidores deben saber sobre la filtración de medio millón de credenciales de seguridad para servidores, enrutadores domésticos y dispositivos inteligentes

Un hacker filtró recientemente una lista de más de medio millón de credenciales de Telnet para servidores, enrutadores domésticos y dispositivos inteligentes, dejándolos vulnerables a los ataques. Marko Zbirka, investigador de amenazas de Internet de las cosas en Avast, respondió preguntas clave relacionadas con el incidente y por qué es importante para los consumidores.

P: ¿Para qué se usa Telnet?

R: Telnet es un protocolo utilizado para proporcionar acceso remoto a dispositivos. El protocolo fue desarrollado en 1969 para proporcionar acceso remoto a los servidores. Hoy en día está ampliamente incluido en dispositivos IoT, pero solo se usa en casos específicos, por ejemplo, si el usuario requiere acceso remoto y completo al sistema subyacente del dispositivo, para acceder de forma remota a configuraciones avanzadas o para depurar dicho dispositivo

P: ¿Qué dispositivos usan comúnmente el protocolo Telnet?

R: Comúnmente vemos Telnet utilizado por enrutadores, dispositivos IoT como cámaras IP, dispositivos inteligentes e incluso decodificadores DVT2.

P: ¿Cómo pueden saber los usuarios si el puerto Telnet de sus dispositivos está expuesto?

R: Los usuarios pueden verificar si el puerto Telnet de sus dispositivos está expuesto mediante el uso de funciones como Avast Wi-Fi Inspector, incluido en todas las versiones de Avast Antivirus. El inspector de Wi-Fi escanea la red, busca dispositivos que usan Telnet en busca de contraseñas vacías, predeterminadas o débiles , y alerta a los usuarios de estas, para que puedan hacer un cambio para asegurar su red. También busca contraseñas que se sabe que fueron utilizadas por botnets de malware en el pasado, incluida la botnet Mirai. Los usuarios también pueden verificar la configuración de su enrutador, iniciando sesión en la interfaz administrativa de su enrutador, para ver si Telnet está habilitado en el enrutador. Si Telnet no se usa activamente, recomendamos deshabilitarlo por completo. También recomendamos a los usuarios que verifiquen si el reenvío de puertos y UPnP están habilitados, y a menos que estos se usen a sabiendas, también deberían deshabilitarse.

P: ¿Dónde pueden los usuarios cambiar sus credenciales de Telnet?

R: Siempre depende del dispositivo en sí, por lo que es importante que los usuarios consulten el manual del dispositivo y siempre sigan las mejores prácticas, como cambiar las credenciales de inicio de sesión predeterminadas (nombre de usuario y contraseña) al configurar un nuevo dispositivo. Algunos dispositivos tienen credenciales Telnet separadas, mientras que en otros dispositivos se puede acceder al puerto Telnet simplemente iniciando sesión en el dispositivo. Los usuarios deben evitar usar el mismo nombre de usuario y contraseña en múltiples dispositivos y cuentas a toda costa. Los ciberdelincuentes a menudo intentan hackear más cuentas una vez que tienen en sus manos una violación de datos que incluye credenciales de inicio de sesión, ya que son conscientes de que muchos usuarios usan las mismas credenciales de inicio de sesión en múltiples cuentas y dispositivos. Según una encuesta de Avast, el 43% de los mexicanos usan la misma contraseña para proteger varias cuentas. Finalmente,  

P: ¿Qué puede hacer alguien con estas credenciales de inicio de sesión? 

R: Una vez que un hacker obtiene acceso exitosamente al puerto Telnet, puede descargar e instalar malware y comenzar a abusar del dispositivo. En la mayoría de los casos, los piratas informáticos usan dispositivos conectados para crear una botnet, que luego pueden usar para ataques DDoS en sitios web populares, para la minería de criptomonedas y para escanear Internet y la red en la que se encuentra el dispositivo infectado para que otros dispositivos infecten y ataquen. Los usuarios pueden reconocer que su dispositivo se ha convertido en parte de una botnet si notan que su dispositivo responde más lentamente de lo habitual y si hay tráfico sospechoso que sale del dispositivo.

P: ¿Es probable que otros hackers también estén escaneando Internet, buscando dispositivos con puertos Telnet expuestos?

A: ¡Sí! Tenemos 500 honeypots implementados en todo el mundo que se programaron con puertos abiertos, como TCP: 23 (protocolo telnet), TCP: 22 (protocolo ssh), TCP: 80 (protocolo http), todos los cuales se encuentran típicamente en dispositivos IoT , por lo que parecen ser dispositivos IoT para atacantes. El propósito de un honeypot es detectar actividad cibercriminal y luego examinar sus métodos de ataque. Existen para engañar a los atacantes haciéndoles creer que los dispositivos a los que apuntan son reales y contienen datos reales. El 19 de enero de 2020, vimos a los ciberdelincuentes intentar acceder al puerto Telnet de nuestros honeypots 347,476 veces.

P: ¿Qué tan probable es que estos dispositivos ahora están usando una dirección IP diferente o credenciales de inicio de sesión diferentes?

R: No es muy probable, ya que muchos de estos dispositivos se configuran y luego simplemente se usan, por lo que muchos usuarios inician sesión en sus dispositivos una vez mientras lo configuran, si es que lo hacen, y nunca más. Según una encuesta de Avast, el 43% de los estadounidenses desconocen que su enrutador tiene una interfaz administrativa web donde pueden iniciar sesión para ver y cambiar la configuración de su enrutador. Cuando se trata de enrutadores, las direcciones IP a veces cambian cuando se reinicia el enrutador o cuando se cambia de un proveedor de servicios de Internet (ISP) a otro. Una red es tan segura como su eslabón más débil, y por esta razón es muy importante seguir las mejores prácticas de seguridad.