R0b1n H00d de las Networks

Desde siempre, Internet ha estado plagado de riesgos en mayor o menor medida. La constante evolución de la tecnología, que la misma sea desarrollada e implementada sin considerar el modelo de “Security By Design”, la curiosidad insana de algunos actores, la necesidad de los gobiernos para tener un acceso secreto y permanente a cualquier ordenador o dispositivo conectado a Internet; son apenas unos cuantos ingredientes del caldo de cultivo actual, que ha generado que Internet se haya convertido en una versión moderna del Salvaje Oeste.

Este contenido fue publciado en el número de Noviembre de la revista IT Digital Security, disponible desde este enlace.

Por su grado de exposición, aquellos sistemas que tengan servicios accesibles desde Internet de forma directa serán las víctimas más probables de recibir más ataques de forma activa y frecuente.

Las organizaciones y empresas con recursos y procedimientos para corregir y parchear sus sistemas de forma proactiva e inmediata tendrán una ventana de exposición más controlada. Sin embargo, los más vulnerables siempre serán los mismos: los usuarios de a pie, ya sea porque carecen de tales recursos y procedimientos, porque no tienen posibilidad de acceder a ellos o simplemente, por desconocimiento o falta de información.

Aquellos para los que la tecnología es un medio de uso y no algo a mantener, cuidar, proteger y afilar, son quienes sin duda acusan más esa falta de preocupación y actualización, y cuyo nivel de exposición es aún mayor si cabe.

Recuerdo los antiguos tiempos, en los que mientras instalábamos Windows XP con una conexión por modem, y al tener en el sistema operativo la IP pública de forma directa, miles de máquinas contaminadas con el gusano Sasser nos infectaban la máquina reiniciándola. No fue hasta la implementación del Service Pack 2 de Windows XP que se introdujo el firewall integrado en la máquina, con bloqueo de tráfico entrante por defecto. Si te tocaba empezar la instalación desde un Windows XP anterior a SP2, corrías con suerte si lograbas terminar la descarga y actualización hasta Service Pack 2, sin que tu proceso “lsass” resultase afectado y tu sistema infectado.

En 2016, los ataques a dispositivos denominados como IoT (“The Internet of Things” o el “Internet de las Cosas”) que derivaron en un control total para formar parte de la botnet Mirai, dieron fe de lo peligroso que resulta dejar conectados a Internet dispositivos que, a la hora de ser actualizados, no se lo ponen fácil al usuario.

En 2017, Wannacry fue sin duda el malware más popular afectando a sistemas Windows que tenían activo SMBv1, una versión obsoleta del protocolo que permitía ejecución de código de forma remota en la máquina afectada, con los más altos privilegios del sistema operativo. En este caso, el malware era una combinación de ransomware que cifraba ficheros del disco, y además se reproducía a través de la red, infectando todo aquel sistema que tuviese el mismo protocolo activo. Miles de máquinas de grandes compañías resultaron afectadas.

En Mayo de 2018, una de las vulnerabilidades que más ruido ha hecho es la que afecta una vez más a los dispositivos IoT, en este caso a routers de diferentes marcas como Asus, D-Link, Linksys, Mikrotik, Netgear, etc., que permitían a un atacante hacerse con el control total del mismo. El ataque se denominó VPNFilter, y aunque los fabricantes publicaron rápidamente el parche, corrigiendo la vulnerabilidad mediante la aplicación de un nuevo firmware, a día de hoy sigue habiendo muchos dispositivos vulnerables a ser controlados remotamente, al no haber sido actualizados.

Y aquí es cuando un ruso que se hace llamar “Alexey”, ha decidido tomar parte activa en el tema, identificando equipos vulnerables de la marca Mikrotik (algunos supongo que hasta previamente vulnerados) expuestos a Internet, parcheándolos para que no vuelvan a ser accesibles, cerrando el acceso al exterior y además, dejando un mensaje al dueño del equipo indicando que le ha arreglado una gran vulnerabilidad en su router, en el que se incluye un enlace al canal de la aplicación de mensajería Telegram, en donde pueden contactarle.

Sorprendentemente, la reacción de múltiples usuarios, lejos de darle las gracias por haberles solucionado un problema del que no eran conscientes, o que la desidia hizo que no se le prestara la importancia que realmente tiene esta vulnerabilidad, fue justo lo contrario de lo esperado: quejas por haberse metido sin permiso en su equipo y mucha preocupación por qué más podría haber hecho en sus equipos este “Robin Hood de las Redes”.

Antes de entrar en cualquier debate respecto de si su actuación ha sido buena o mala, legal o ilegal, si es un héroe o no, entre otras tantas cuestiones que pueden surgir, la reflexión previa que estamos obligados a hacer es: Si fueras un usuario en esta situación, que no te ha importado tener un dispositivo vulnerable, y que al menos ese problema te lo ha resuelto “Alexey” ¿realmente ahora te preocuparías de qué acciones puede haberte hecho sobre el router? ¿y por qué preocuparse ahora y no antes, cuando incluso, te lo podrían haber vulnerado otros actores para formar parte de VPNFilter? ¿el hecho de no haberte dado cuenta de una vulneración previa, que pudo haber existido, es menos grave que la actuación de alguien que es transparente y te informa que lo ha corregido?

Y en el caso de que seas uno de esos afortunados o desafortunados a quienes “Alexey” ha dejado uno de estos mensajes ¿qué harás de ahora en adelante? ¿esperar a que otros exploten otras vulnerabilidades en tus equipos, o a que aparezca este u otro Robin Hood? ¿o decidirás preocuparte por fin de tu seguridad?

Lorenzo Martínez Rodríguez, Experto en Ciberseguridad