2,8 millones de direcciones IP por día: el ataque global a dispositivos de red está ganando impulso
Los bastiones digitales se están desmoronando bajo el embate de los flujos de tráfico en la sombra.
Un ataque a gran escala mediante fuerza bruta ha afectado a millones de dispositivos de red en todo el mundo. Según los datos de Shadowserver, los atacantes utilizan casi 2,8 millones de direcciones IP diariamente en intentos de obtener credenciales de acceso a dispositivos de Palo Alto Networks, Ivanti, SonicWall y otros fabricantes.
La mayoría de las direcciones IP atacantes se encuentran en Brasil (1,1 millones), así como en Turquía, Rusia, Argentina, Marruecos y México. Participan miles de otros países, lo que indica la escala global del ataque. El vector de ataque ha sido dispositivos de seguridad perimetral, como cortafuegos, puertas de enlace VPN y otras soluciones que garantizan el acceso remoto.
Según Shadowserver, el ataque ha estado en curso durante varias semanas, pero recientemente la actividad ha aumentado drásticamente. Los ataques involucran routers y dispositivos IoT de MikroTik, Huawei, Cisco, Boa y ZTE, que a menudo se utilizan en botnets. El uso de estos dispositivos en el ataque sugiere la posible participación de una gran red de nodos infectados o servicios de proxy residenciales.
Los proxies residenciales permiten a los atacantes ocultar su actividad utilizando direcciones IP de usuarios reales de proveedores de Internet. Esto dificulta la detección y el bloqueo de los atacantes, ya que su tráfico parece normal. Los hackers pueden dirigir solicitudes maliciosas a través de redes corporativas, utilizándolas como nodos de salida.
Los expertos recomiendan reforzar la seguridad de los dispositivos vulnerables al ataque. Es fundamental cambiar las contraseñas predeterminadas por unas únicas, habilitar la autenticación multifactor (MFA) y restringir el acceso solo a direcciones IP de confianza. También se debe deshabilitar las interfaces web de administración si no se utilizan.
La instalación de actualizaciones de seguridad sigue siendo una de las principales formas de prevenir ataques. Las vulnerabilidades en software obsoleto pueden permitir que los atacantes tomen el control de los dispositivos incluso sin necesidad de realizar ataques de fuerza bruta.
En abril del año pasado, Cisco advirtió sobre un importante ataque de fuerza bruta dirigido a dispositivos de Cisco, CheckPoint, Fortinet, SonicWall y Ubiquiti. Asimismo, en diciembre, Citrix informó sobre una operación similar contra dispositivos NetScaler. Todos estos ataques evidencian el aumento de la actividad de los atacantes centrados en la infraestructura de red, lo que subraya la necesidad de una mayor protección y un monitoreo constante de los dispositivos vulnerables.
Las huellas digitales son tu debilidad, y los hackers lo saben