Mirai, el virus que cambió los ataques en internet

Mirai, el virus que generó un antes y un después en los ataques informáticos

Las 100.000 conexiones afectadas en el Reino Unido -reportadas por el diario inglés The Guardian- se suman a los más de 900.000 clientes de la empresa de telecomunicaciones Deutsche Telekom que experimentaron durante los últimos días en Alemania problemas con la telefonía IP, la navegación web y la televisión por Internet.

Detrás de estos ataques se encuentra la Mirai, una botnet (como se denomina a la red de dispositivos infectados) que aprovecha la vulnerabilidad de la seguridad de equipos hogareños -cámaras, módems, heladeras- conectados a Internet: los infecta y los controla para usarlos con el fin de lanzar ataques de denegación distribuida de servicio (DDoS).

Estos DDoS buscan dar de baja sitios o servicios online provocándoles la pérdida de conectividad, al saturar sus servidores mediante una enorme cantidad de accesos que consumen el ancho de banda de la red de la víctima; así, los servidores se sobrecargan y dejan de estar accesibles.

"Este tipo de ataques se aprovechan de miles o millones de dispositivos que cualquiera de nosotros puede tener en casa y que hacen uso de IoT (Internet de las cosas), y con el uso de software capaz de multiplicar el ancho de banda, estos ataques son realmente muy poderosos", señaló en diálogo con Télam el especialista en seguridad informática Cristian Borghello.

Embed

Un hacker ruso quiso vender 272 millones de passwords de Gmail y Hotmail por US$1 https://t.co/yZUiokSBO7 pic.twitter.com/RWlerZUcqZ
— minutouno (@minutounocom) May 5, 2016

"La botnet Mirai funciona de esta manera y en los últimos meses los delincuentes la mejoraron de forma significativa, aprovechando distintas vulnerabilidades y exploits que se aprovechan de los dispositivos antes mencionados", agregó.

Si bien "conocer el numero preciso de equipos detrás de este tipo de ataques no es sencillo, en este caso se puede estimar según el tipo de dispositivo que se está utilizando, y según distintas fuentes corresponden a al menos 10.000 módems de banda ancha en Irlanda y de una marca especifica", precisó.

Estos módems "eran o son vulnerables a ataques remotos a través del puerto TCP 7547", añadió, y detalló que de los 47 millones de dispositivos con ese puerto abierto que hay en el mundo, 831.979 están en la Argentina.

"Obviamente no todos corresponden a módems o dispositivos vulnerables, pero da una buena idea de la cantidad potencial que podrían ser", continuó Borghello, director del Proyecto Odila.

Los ataques son similares a los que a finales de octubre experimentó el proveedor de direcciones DNS estadounidense Dyn, que hizo caer un número importante de conexiones a Internet en Estados Unidos y Europa y afectó a sitios y servicios como Twitter, Netflix, Spotify, reddit, The Guardian y The New York Times, entre muchos otros.

Ninguno de estos ataques fue reivindicado por algún grupo ni derivó en el robo de datos o dinero, por lo que expertos consultados por medios especializados afirman que el fin de los mismos no es otro que generar caos al voltear Internet.

"Mirai efectivamente marcó un antes y un después en el tamaño de las botnets, en el tipo de dispositivos utilizados (ahora una cámara, heladera o un televisor puede formar parte del ataque) y en el volumen y ancho de banda utilizado", afirmó Borghello.