El Internet de las Cosas cada vez está más presente en nuestro día a día. Cada vez tenemos un mayor número de dispositivos (cámaras, televisores, consolas, aspiradores, bombillas, etc) conectados constantemente a Internet de manera que ellos puedan ofrecernos servicio a través de la red y nosotros controlarlos de forma segura estemos donde estemos. Esto sin duda es el futuro, sin embargo, antes de eso es necesario conocer las amenazas y los peligros que se esconden en la red para estos dispositivos, como es el caso de la botnet Mirai.

En 2016, tras varios ataques que no tenían lógica para los investigadores por el gran ancho de banda que estaban utilizando, finalmente se pudo descubrir la botnet Mirai. Esta botnet estaba formada por millones de dispositivos por todo el mundo, siendo una de las más grandes de toda la red, y que estaba controlada por un grupo de piratas informáticos que la utilizaban para su propio fin.

Esta botnet estaba (y aún lo está) formada por todo tipo de dispositivos conectados, desde sistemas de vigilancia, cámaras IP o termostatos hasta routers, pequeños servidores e incluso ordenadores completos.

Los piratas informáticos tras esta botnet han estado incluso alquilando sus servicios al mejor postor. Mediante el pago de una determinada cantidad de dinero (nada barata, por cierto, aunque con eficacia garantizada), cualquiera podía tener acceso a esta botnet durante un tiempo para llevar a cabo las prácticas que quisieran, ya fuera el envío de SPAM, ataques DDoS, etc.

Cómo infecta Mirai los dispositivos IoT

Lo primero para poder tomar el control de los dispositivos es que los piratas informáticos, a través de la propia botnet en un proceso totalmente automático, utilizaban los credenciales por defecto (admin/admin) para intentar entrar. Debido a malas prácticas de seguridad, muchos usuarios usuarios no cambian las contraseñas por defecto, por lo que no ponen ninguna barrera a los piratas informáticos.

En caso de que el dispositivo tuviera la contraseña cambiada se realizaban ataques de fuerza bruta desde la propia botnet hasta conseguir entrar.

Una vez que estos lograban establecer una conexión con el dispositivo, se recurría a botnet para inyectar varios exploits que les permitieran conseguir permisos de superusuario en el dispositivo e instalar el troyano Mirai para que este dispositivo pasara a formar parte de la botnet.

Pero… ¿Mirai no había desaparecido?

Es cierto que los creadores de la botnet original han sido detenidos y están en un proceso judicial acusados de piratería informática al haber causado pérdidas millonarias a grandes empresas como Spotify o Microsoft mediante distintos ataques informáticos.

Sin embargo, cuando parecía que Mirai había desaparecido, la semana pasada una nueva variante de esta botnet que ha tomado el control de la original. Y Mirai es ahora una amenaza mucho peor capaz de llevar a cabo ataques DDoS de más de 1 terabyte por segundo.

Cómo puedo proteger mis dispositivos de Mirai

Como hemos explicado, los piratas informáticos se aprovechan básicamente de dos debilidades a la hora de infectar un dispositivo. La primera de ellas es utilizando los credenciales por defecto del router, lo cual podemos solucionar muy fácilmente cambiando la contraseña por defecto por otra contraseña segura, larga y aleatoria que nos proteja de estas vulnerabilidades.

La segunda de las formas utilizadas por los piratas informáticos es utilizar exploits que se aprovechen de distintas vulnerabilidades en los firmware más antiguos. La mejor forma de solucionar esto es actualizando el firmware de nuestros dispositivos a la última versión que tape las vulnerabilidades conocidas. Sin embargo, esto puede llegar a ser un problema para muchos.

Muchos dispositivos, sobre todo los “baratos chinos”, no reciben absolutamente ningún tipo de mantenimiento, por lo tanto, es imposible actualizarlos para tapar las vulnerabilidades. Por desgracia, no hay mucho que podamos hacer al respecto, salvo ir pensando en comprar otro dispositivo que sí tenga mantenimiento y actualizaciones de seguridad.

Si nuestro dispositivo es un router, entonces podemos pensar en instalar un firmware alternativo, como OpenWRT o DD-WRT. Si usamos un NAS, por otro lado, entonces podemos probar FreeNAS o XigmaNAS.

¿Y si mi dispositivo ya está infectado por Mirai?

Si nuestro dispositivo ya está infectado por este malware, por mucho que cambiemos la contraseña no vamos a hacer nada.

En este caso, lo que debemos hacer es desconectarlos de Internet cuanto antes para que dejen de estar conectados a esta botnet y, a continuación, buscar una imagen del firmware (de la última versión) y flashearla encima a la fuerza. No sirve restablecer los valores de fábrica ya que el malware se copia siempre en la memoria del sistema, como si fuese una parte nativa del firmware, por lo que no se borra al restablecer los valores.

Una vez flasheado el firmware desde cero, antes de conectarlo a Internet, debemos cambiar el usuario y la contraseña por defecto por otros más seguros. Si nuestro dispositivo no tiene soporte, aunque puede que lo protejamos temporalmente, deberíamos pensar en comprar un nuevo dispositivo más moderno y seguro.

¿Qué opinas sobre las amenazas de la botnet Mirai?