Descubren una botnet formada por cientos de cámaras de videovigilancia

Internet de las Cosas está revolucionando muchos sectores, como por ejemplo, el de la sanidad. Cada día, millones de dispositivos se conectan a Internet, y está previsto que para 2020 haya nada más y nada menos que más de 38.000 millones de dispositivos conectados a la Red. Su interconexión abre un mundo de posibilidades a todo tipo de sectores, y permitirá que gran cantidad de datos se pongan a disposición de todo tipo de entidades y empresas.

Hasta aquí, la parte buena. La mala es que como no se tenga cuidado con su seguridad, este tipo de objetos pueden ser un blanco fácil para que los hackers tomen su control y los utilicen para desplegar sus malas artes. Como ha sucedido con varios cientos de cámaras de videovigilancia que formaban parte de una botnet utilizada para lanzar ataques de denegación de servicio.

La compañía de seguridad Incapsula es la que ha hecho el descubrimiento, mientras trabajaba en la investigación de un ataque de denegación de servicio distribuido (DDoS) contra un proveedor de servicios en la nube, uno de sus clientes. Dicho ataque empleaba una red compuesta por nada menos que 900 cámaras de vigilancia que enviaban hasta 20.000 peticiones de acceso por segundo, con el objetivo de desactivar uno de los servidores en la nube del proveedor.

Todas las cámaras, infectadas con una variante de una programa denominado Lightaidra, tenían como sistema operativo Linux, acompañado por un paquete de utilidades de Unix diseñado para equipos de recursos limitados, denominado BusyBox. Precisamente el pack que abre la puerta a ataques de hackers a equipos con Linux, ya que explotan una vulnerabilidad conocida que BusyBox presenta de los servicios de Telnet y de SSH. Si no está debidamente actualizado y protegido, los hackers pueden, simplemente con un ataque de fuerza bruta, hacerse con el control del dispositivo que lo integra. Y dado que muchas de estas cámaras suelen estar en funcionamiento sin que sus instaladores hayan cambiado la contraseña que tenían por defecto, conseguir controlar decenas de ellas es realmente sencillo.

Lo realmente peculiar de este caso es que, cuando los analistas de Incapsula consultaron la lista de IPs atacantes, descubrieron que algunas de las cámaras que formaban parte de la red, todas con la contraseña original como clave de acceso, estaban realmente cerca de sus oficinas. En efecto, al mirar por la lente de una de ellas, vieron una imagen muy familiar: la de la entrada de una tienda de un centro comercial que quedaba a unos cinco minutos de la compañía.

Ni cortos ni perezosos, se dirigieron a la tienda en cuestión a informaron a sus propietarios de que sus cámaras de vigilancia estaban siendo utilizadas en un ataque a uno de sus clientes. Allí mismo, les ayudaron a eliminar el malware del disco duro de la cámara, que como pudieron comprobar seguía lanzando peticiones de ataque hasta que el disco quedó limpio de software malicioso.

No es el único ataque en el que han «participado» involuntariamente elementos no habituales, por lo que hay que tener muy presente que es necesario extremar la seguridad con todos los dispositivos que se conectan a la red. No sólo con servidores, ordenadores, tablets y smarpthones. De otra forma, y cuando menos te lo esperes, puede que alguien llame a la puerta diciendo que tu nevera está atacando el servidor en el que se aloja su base de datos y la web de su compañía.