Hackers chinos idean cómo inutilizar los bloqueos. Spoiler: tu router lo facilitó.
El centro británico de ciberseguridad publica pautas para protegerse de ataques masivos de botnets.
Los atacantes vinculados con China han cambiado la táctica habitual y empezaron a usar redes de dispositivos comprometidos. No se trata de unos pocos servidores, sino de miles de routers domésticos y otros dispositivos de red, incluidas cámaras conectadas a internet, grabadores de vídeo y almacenamientos en red (NAS), unidos en botnets ocultos.
Estas redes se utilizan en todas las fases del ataque. Con ellas se recopila información sobre los objetivos, se entregan programas maliciosos, se controlan los sistemas infectados y se extraen los datos robados. Además, la infraestructura es barata y cambia con rapidez, lo que hace que las listas clásicas de direcciones bloqueadas sean casi inútiles.
Están en riesgo organizaciones, incluidos servicios críticos. Los atacantes pueden robar datos sensibles y alterar el funcionamiento de los sistemas. La situación se complica porque los botnets se actualizan constantemente. Los nodos en esas redes desaparecen y reaparecen rápidamente, y distintos grupos pueden usar los mismos dispositivos. Como resultado, los indicios de intrusión quedan obsoletos casi inmediatamente después de ser detectados.
El Centro Nacional de Ciberseguridad del Reino Unido, junto con socios (Estados Unidos, Australia, Canadá, Alemania, Japón, Países Bajos, Nueva Zelanda, España, Suecia) preparó recomendaciones para protegerse contra este tipo de ataques. La agencia aconseja a las empresas que vigilen con atención el tráfico de los dispositivos de red, especialmente las conexiones a través de redes privadas virtuales y el acceso remoto. También propone usar fuentes dinámicas de datos sobre amenazas que tengan en cuenta los indicios de actividad de esas redes ocultas.
Para proteger el acceso remoto se recomienda habilitar la autenticación de dos factores. Cuando sea posible conviene implementar el modelo de confianza cero, restringir el acceso mediante listas de direcciones permitidas y verificar los dispositivos mediante certificados. A las organizaciones grandes y a las empresas con riesgos elevados se les aconseja buscar tráfico sospechoso procedente de dispositivos domésticos y de internet, analizar la geografía de las conexiones y aplicar sistemas de detección de anomalías.