Seguridad

Hackers españoles instalan una red de balizas digitales para estudiar la seguridad en la red

Photo by Pixabay on Pexels.com

Hay una ciberguerra que se está librando de forma invisible a nuestros ojos

Internet es algo mucho más denso y oscuro de lo que la mayoría de los usuarios piensa. Piensa en la red como una nebulosa en la que haces de luz oscilan de un lado a otro. Son los internautas, navegando. Pero hay otros rayos que se mueven de una forma confusa e inquietante. A la deriva.

Según un informe de la empresa de ciberseguridad Impervaen 2019 el 40% del tráfico de la red no fue humano. Lo protagonizaron bots, programas informáticos que realizan tareas repetitivas de aquí a allá. Esta cifra ha sido mucho más alta en años anteriores. En 2016, por ejemplo, más de la mitad del tráfico de internet tampoco fue humano.

Por supuesto, del 37,2% del tráfico no humano que recorrió la red en 2019, dos tercios correspondieron al tráfico de bots ‘malos’. Según esta misma compañía, el 24,1% del tráfico global que recorrió globalmente internet el año pasado correspondió a programas maliciosos cuya finalidad no era otra que hacer daño y perpetrar ciberataques, o prepararlos.

El mundo digital evoluciona drásticamente y en muy poco tiempo. Los analistas de ciberseguridad están más que familiarizados con un término: botnet. Las botnets son ejércitos de bots que pueden operar de forma autómata por la red sondeando víctimas, ejecutando ataques de denegación de servicios o secuestrando servidores y dispositivos “abandonados”.

La firma rusa Kaspersky tiene uno actualizado este mismo año, en el que se puede ver en tiempo real qué direcciones toman las ciberamenazas sobre el tablero geopolítico. En concreto, el mapa de ciberamenazas de Kaspersky es capaz de registrar el envío de correos maliciosos, los objetivos fijados por algunas de estas botnets, o los intentos de incursiones a sistemas no securizados.

Digital Attack Map es capaz, por ejemplo, de registrar los ataques DDoS (de denegación de servicios), es decir, aquellos ataques con los que se intentan derribar los servidores objetivos enviándoles demasiadas peticiones hasta saturarlos.Este tipo de mapas son atractivos de ver. Ayudan a hacerse una idea de cómo es la ciberguerra que se libra de forma invisible entre los dispositivos informáticos. El problema es que en ocasiones son poco útiles. Bonitos de ver, pero con poca información. Por eso, buena parte de la comunidad de la seguridad informática los llama burlonamente pewpew maps  (mapas pium pium).

Las claves: buena parte del tráfico de la red no es humano, es autómata, perpetra ciberataques y los mapas de amenazas digitales en tiempo real de las empresas son atractivos de ver, pero en ocasiones no dan suficiente información. Aquí entra otra clave más en la ecuación: la red está plagada de balizas digitales, de honeypots, con los que hackers y expertos en ciberseguridad son capaces de analizar cómo es la caótica ciberguerra que se está librando en la red en un formato de todos contra todos.

Qué es un honeypot y por qué estos hackers españoles están montándoselos en su casa

Marc Almeida es programador, y toca la seguridad “desde varios puntos de vista”. Lo cuenta él mismo en una reciente charla que dio en c0r0n4c0n, un congreso de ciberseguridad que se celebró en Abril para recaudar fondos a favor de Cruz Roja en plena pandemia del COVID-19. 

En la ponencia que impartió Almeida, también conocido en la red con el pseudónimo de cibernicola, explicó qué es un honeypot y cómo funciona el que se ha montado él en su casa.

Pero, ¿qué es un honeypot? El nombre puede dar una pista. Honeypot en inglés significa ‘tarro de miel’, aunque en este contexto su traducción más adecuada podría ser un “cebo”. “Es un programa diseñado para ser vulnerado”, abunda el propio Almeida en una entrevista con Business Insider España. Un honeypot es un tipo de programa informático capaz de hacerse pasar en la red por otro tipo de dispositivo. Hay honeypots que simulan ser servidores web, otros que simulan ser servidores de escritorio remoto (ordenadores que se pueden controlar a distancia), etc. La gracia está en que estos honeypots simulan ser esos aparatos… y estar indefensos.

¿Para qué? Para atraer al máximo número de bots que estén sondeando la red en búsqueda de víctimas: ya sea para secuestrar dispositivos que utilizar en sus botnets o para perpetrar ciberataques de cualquier otro tipo. ¿Qué ocurre? Que en realidad un honeypot es un cebo y una trampa que permite a los expertos analizar qué tipo de ataques están pululando en la red.

Lo que Marc Almeida ha instalado en su dispositivo además es una “colmena” de honeypots, cuyo paquete recibe el nombre de T-POT. En función de lo que detecta cada honeypot, el operador es capaz de detectar qué tipo de ciberamenazas están recorriendo la red intentando penetrar.

Así nace Obélix Teh HoneyPot

Tras la presentación de Almeida en la c0r0n4c0n, muchos miembros de la comunidad de ciberseguridad española se interesaron por la iniciativa. A su instalación T-POT, Almeida le puso el nombre de Obélix tras consultarlo con sus seguidores de Twitter.

Ahora, la red de honeypots de Obélix no para de crecer. Decenas de personas se están organizando a través de un servidor de discord y en la red ya hay ordenadores domésticos en distintos puntos de España, como Madrid, o incluso en el extranjero, como en Alemania. Todos son boyas, sondas o balizas con las que estos hackers españoles llevan vigilando la red desde hace semanas. “Si el atacante fuera una persona física e intenta acceder a algún honeypot, en cuestión de nanosegundos se daría cuenta de que está intentando penetrar en uno, y desistiría”, explica Almeida. “Pero actualmente, a menos que se trate de un ciberataque muy dirigido, todos son bots”.

A priori, estos bots no van a saber que están intentando penetrar un honeypot. Intentarán acceder a él y ejecutar alguna prueba. Algún bot más avanzado “intentará ejecutar alguna acción para detectar de si se ha instalado en un honeypot”. “Los bots normales intentarán ejecutar órdenes y, si no funcionan, pues adiós. Los bots lo que hacen de forma masiva y compulsiva es escanear la red en búsqueda de recursos informáticos de todo tipo. Muchos no verifican nada. Entran, ejecutan, y se van”. Casi la mitad del tráfico de internet lo ejecutan bots autómatas, ‘zombies’ que lo que quieren es infectar dispositivos y secuestrarlos.

Así, en la red estos bots malignos pueden encontrarse con diversos sistemas informáticos vulnerables. Sistemas de control industrial como el SCADA, servidores de escritorio remoto, servidores web… para cada uno de estos tipos de sistemas, hay un honeypot distinto montado en la red Obélix. El ConPot de TPO-T, por ejemplo, simula un Sistema de Control Industrial. Cowrie simula un servidor SSH. El honeypot Glastopf, aparenta ser un servidor web. Así lo explica un hacker ético, Carlos González, en su propio blog.

Al igual que en el espacio hay basura espacial, en la red existe el mismo problema. La llamada basura digital: servidores y páginas web desactualizadas y, por tanto, vulnerables. Estos dispositivos están expuestos a formar parte como auténticos zombis de una botnet lista para perpetrar nuevos ciberataques.

Fuente: Business Insider

Categorías:Seguridad

Tagged as: , , ,

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s