Internet cruzó las puertas del fin de semana, pero lo cierto es que no lo hizo de la mejor manera. Varios sitios mayores, entre los que se destacan Twitter, Netflix, Reddit y Spotify, comenzaron a arrojar errores de acceso, aunque no había nada malo con sus infraestructuras. El nuevo ciberataque afectó a Dyn, una de las compañías más importantes del mundo en la distribución de DNS. El ataque se concentró especialmente sobre los Estados Unidos, y los datos disponibles en estas últimas 72 horas apuntan a una botnet basada en un malware llamado Mirai.
Se sabía que otro ciberataque estaba a punto de golpear la infraestructura de Internet. Por más grandes que hayan sido los últimos eventos registrados, nunca desapareció la sensación de que sus responsables «entrenaban», preparándose para algo enorme. Bueno, al parecer ese «algo» sucedió el pasado viernes, cuando media Internet en los Estados Unidos y una parte de Europa simplemente desapareció. Docenas de sitios con un muy alto perfil se vieron afectados, alcanzando a toda clase de géneros y servicios. Netflix, Amazon, Spotify, HBO, PayPal, Twitter, Reddit, The Elder Scrolls Online, Electronic Arts, Starbucks, Quora, portales de noticias… la lista sigue. Lo más llamativo es que el ataque no estuvo dirigido a esos sitios, sino que se buscó comprometer al sistema que nos permite acceder a ellos. En otras palabras, se atacó a la compañía distribuidora de DNS Dyn, a la que muchos conocíamos previamente como DynDNS.
De acuerdo al reporte publicado por la propia Dyn, el ataque DDoS dio inicio poco antes de las 11:10 (UTC/GMT) del pasado viernes, y fue declarado como «resuelto» once horas más tarde. Se creyó que el ataque había sido mitigado en dos ocasiones, pero la pausa promedio fue de unas tres horas. Los efectos del ataque dieron de lleno contra los servidores de Dyn en la costa este de los Estados Unidos, aunque en la práctica afectó a casi todo el territorio de ese país, y a una parte de Europa. Con el paso del tiempo, varias firmas de seguridad lograron determinar que la botnet responsable por el ciberataque estaba basada en el malware llamado Mirai. Si el nombre suena conocido, es porque se trata del mismo malware utilizado contra el portal Krebs on Security, y en el DDoS récord que derribó al proveedor francés OVH. La habilidad especial de Mirai es convertir a dispositivos como cámaras de vigilancia, monitores para bebés y otros accesorios de la famosa Internet de las Cosas en un ejército de zombies capaz de desplegar un poder devastador. Si eso parece poco, el/la responsable por el malware Mirai, que lleva el seudónimo «Anna-sempai», liberó su código en las últimas semanas de septiembre. Aunque esto no significa que la misma botnet haya participado de los tres ataques, la intervención de Mirai en todos los casos es muy clara.
La firma de seguridad Flashpoint compartió detalles adicionales sobre los «zombies» que atacaron a Dyn. Si bien no se descartó la posibilidad de que múltiples botnets combinadas hayan participado del ataque, Flashpoint advirtió que los dispositivos basados en el hardware de una compañía china, XiongMai Technologies, fueron los más afectados. Esto nos recuerda la falta de seguridad y responsabilidad por parte de fabricantes que no protegen sus productos correctamente. Todos esos accesorios salen a la venta con una contraseña interna de fábrica (hardcoded) que no puede ser cambiada por el usuario, y más grave aún es que dejan abierto el acceso a ellos vía telnet o SSH, manjares servidos en bandejas de plata para el malware. Un simple barrido en búsqueda de hardware vulnerable le permitió a Flashpoint encontrar más de medio millón, y nadie sabe cuántos podría hallar un malware con persistencia. Es exactamente como lo anticipó Martin McKeay de Akamai tras el ataque a OVH: Apagones en Internet.
La dura verdad es que esto no va a terminar. Una vez que se entiendan por completo las capacidades de Mirai tal vez se lo pueda contener, pero la gente responsable por los ataques es muy inteligente, y sólo tiene que tomar su código para crear algo más astuto aún. Tal vez sea hora de colocar en el banquillo a la Internet de las Cosas, e implementar certificaciones obligatorias que los fabricantes deberán seguir con el objetivo de garantizar que sus productos no comprometan a lo que ya es una infraestructura muy delicada. Por supuesto, eso se traduce en mayores gastos. La idea de reemplazar hardware defectuoso e inseguro va a ser resistida de punta a punta, sin embargo, la mecánica de «parches y mitigación» está llegando a su límite.