La rebelión de las máquinas: los routers MikroTik atacan la red global

OVHcloud, uno de los principales proveedores europeos de servicios en la nube, se enfrentó recientemente a un ataque DDoS de escala sin precedentes. Este ataque, que alcanzó una potencia asombrosa de 840 millones de paquetes por segundo (Mpps), se convirtió en el récord de 2024 e ilustra vívidamente la creciente amenaza de los ataques DDoS.

Desde principios de 2023, los especialistas de OVHcloud han notado una tendencia alarmante: la escala y frecuencia de los ataques DDoS están creciendo constantemente. Hasta el momento actual, la situación se ha agravado tanto que los ataques con una potencia superior a 1 Tbps se han convertido en un fenómeno casi cotidiano. Este cambio significativo en el panorama de la ciberseguridad está causando seria preocupación entre los investigadores.

Durante el último año y medio, OVHcloud ha registrado regularmente cifras impresionantes tanto en tasa de bits como en número de paquetes por segundo. El pico de esta actividad se produjo el 25 de mayo de 2024, cuando se registró una tasa de bits récord de 2,5 Tbps.

El comienzo de 2024 se convirtió en una verdadera prueba para la infraestructura de OVHcloud. La empresa repelió con éxito varios ataques potentes que superaron los 500 Mpps, incluido uno con un valor pico de 620 Mpps. Sin embargo, el verdadero récord se estableció en abril de este año, cuando el sistema registró el ataque mencionado anteriormente con una potencia de alrededor de 840 Mpps. Esta cifra superó el récord anterior de 809 Mpps, que se mantuvo desde junio de 2020.

La investigación sobre la fuente del ataque mostró que se realizó utilizando el protocolo TCP ACK e involucró alrededor de 5000 direcciones IP. Es notable que dos tercios de todo el tráfico del ataque pasaran por cuatro nodos clave, tres de los cuales estaban ubicados en la costa oeste de los Estados Unidos.

Una preocupación particular para los especialistas de OVHcloud fue el hecho de que muchos ataques con un alto número de paquetes por segundo, incluido el récord, provenían de dispositivos comprometidos MikroTik Cloud Core Router (CCR). Estos potentes enrutadores, diseñados para redes de alto rendimiento, resultaron ser vulnerables debido a software obsoleto y ahora representan una amenaza para todo el ciberespacio.

Durante la investigación, OVHcloud descubrió casi 100.000 dispositivos MikroTik accesibles a través de Internet y potencialmente vulnerables a ataques. Los expertos de la empresa advierten: incluso si solo el 1% de estos dispositivos se viera comprometido, esto podría conducir a la creación de una botnet tan poderosa que sería capaz de generar hasta 2.280 millones de paquetes por segundo.

A pesar de las repetidas advertencias del fabricante sobre la necesidad de actualizar RouterOS a una versión segura, muchos dispositivos MikroTik siguen siendo vulnerables durante mucho tiempo. Esto aumenta significativamente el riesgo de su uso en ataques DDoS y subraya la importancia de un enfoque responsable de la ciberseguridad por parte de los propietarios y administradores de equipos de red.

La situación emergente ilustra vívidamente la creciente complejidad y escala de las amenazas en el campo de la ciberseguridad, y también subraya la necesidad de una vigilancia constante y cooperación entre proveedores de servicios, fabricantes de equipos y especialistas en seguridad para proteger la infraestructura digital global.