Finales de mayo de 2018. Hace un año, Cisco desenmascaraba una red global de dispositivos infectadosque podían provocar un ataque altamente destructivo a escala mundial.
Al menos 500.000 routers (para pymes y consumo) y dispositivos de almacenamiento NAS (Network Attached Storage) en 54 países habían sido infectados, formando una red ‘botnet’ controlada a través del navegador TOR. Los ciberdelincuentes podían coordinar un ataque masivo, dejar los equipos infectados inoperativos y eliminar el acceso a Internet para cientos de miles de usuarios, además de inspeccionar el tráfico y robar datos confidenciales.
La rápida actuación del FBI, Cisco y otras compañías de ciber-seguridad integradas en la Cyber Threat Alliance, consiguió neutralizar el ataque, presumiblemente alentando desde un país opuesto a los intereses políticos de Ucrania.
Un año después, Cisco Talos (la división de ciber-inteligencia de Cisco) advierte del peligro de nuevos ciberataques de alcance mundial. Como señala en su blog, VPNFilter fue una llamada de atención alertando a la comunidad de ciberseguridad sobre un nuevo tipo de amenaza respaldada por un estado: una gran red de dispositivos comprometidos en todo el mundo capaz de robar datos confidenciales, ocultar el origen de los ataques y destruir redes.
La tortuga marina
Un ejemplo es Sea Turtle, un ataque presumiblemente apoyado por un país que aprovechó la infraestructura de Internet a gran escala para robar credenciales de embajadas y agencias militares. Desvelado por Cisco Talos hace un mes, esta campaña se basaba en el mismo tipo de actividad que VPNFilter (man-in-the-middle) para sustraer nombres de usuarios y contraseñas, aunque a través de una técnica diferente (secuestro del sistema DNS).
La infraestructura de red sigue siendo objetivo de grandes ataques. Probablemente estarán basados en malware más refinado, que deja menos rastro en el tráfico de red y con una infraestructura Command and Control más resistente.
Recomendaciones
Dada su posición en la topología de la red, los dispositivos de red perimetral siempre estarán expuestos a ataques. Los equipos no parcheados, con vulnerabilidades conocidas y conectados a Internet pueden ser explotarse en cualquier momento.
“Mantenerlos totalmente parcheados y configurados correctamente es parte vital de la higiene de red. Además, conviene utilizar cortafuegos de próxima generación capaces de detectar y bloquear los ataques antes de que alcancen los dispositivos vulnerables”, destaca Eutimio Fernández, director de Ciber-Seguridad en Cisco España.
La vigilancia también es importante. “VPNFilter se detectó por primera vez al identificar el comportamiento inusual de la red de un dispositivo infectado. La red constituye un sensor clave para detectar la actividad de los ciber-delincuentes”, concluye.
Igualmente, la colaboración público-privada resulta fundamental para detener las ciber-amenazas de gran alcance. Cisco colabora activamente con la Cyber Threat Alliance y autoridades como FBI e Interpol compartiendo información y ofreciendo formación.
En España, a través de su programa Digitaliza diseñado para facilitar la transformación digital, Cisco fomenta iniciativas de información, formación y prevención de ciber-amenazas con empresas, administraciones y organismos, incluyendo el Institutito Nacional de Ciberseguridad (INCIBE).