Hackean 3 millones de cepillos de dientes inteligentes para lanzar un ataque DDoS [actualizado]

Alrededor de 3 millones de cepillos de dientes inteligentes fueron infectados con malware para lanzar un ataque DDoS contra una compañía suiza cuyo nombre no ha trascendido. Según ha informado el medio Aargauer Zeitung, el ataque logró tumbar la web de la empresa y le provocó millones de euros en pérdidas.

Un ataque DDoS o de denegación de servicio se produce cuando un número lo suficientemente grande de dispositivos intentan acceder simultáneamente a una web o servicio, superando su capacidad para atender las peticiones y provocando su caída.

Los hackers utilizan para este propósito lo que se llama botnet o red zombi de dispositivos. Estos están infectados, pero funcionan con normalidad y sin que los usuarios lo sepan. Cuando el hacker da la orden, participan en el ataque de denegación de servicio.

No es raro que se produzcan, pero sí llama la atención que este se haya realizado usando dispositivos tan aparentemente inofensivos y en un número tan grande. Normalmente, los cepillos de dientes inteligentes habrían utilizado su conectividad para rastrear y mejorar los hábitos de higiene oral del usuario, pero terminaron formando parte de una extensa botnet. Y es que cualquier dispositivo conectado a Internet es susceptible de ser objeto de los hackers. En este caso, habrían aprovechado una vulnerabilidad en el sistema operativo basado en Java que emplean. El nombre de la marca de los cepillos de dientes afectados tampoco se ha publicado.

Según Stefan Züger, de la empresa de ciberseguridad Fortinet, “cada dispositivo que esté conectado a Internet es un objetivo potencial, o puede ser utilizado de manera indebida para un ataque”. Por ese motivo, no hay que pensar que aparatos como routers, decodificadores, cámaras de vigilancia, timbres, monitores para bebés, lavadoras y otros no están en riesgo. Todo tipo de dispositivos son explorados continuamente por los hackers en busca de vulnerabilidades, “por lo que hay una verdadera carrera armamentística entre los fabricantes de software/firmware de dispositivos y los ciberdelincuentes”.

Ante esta situación, Züger recomienda a los usuarios mantener actualizados sus dispositivos, tanto firmware como software, monitorear sus redes en busca de actividad sospechosa e instalar y utilizar software de seguridad.

Actualización 9 de febrero

Fortinet ha realizado la siguiente aclaración a La Razón:

"Para aclarar, el tema de los cepillos de dientes utilizados en ataques de denegación de servicio (DDoS) fue presentado durante una entrevista como una ilustración de un tipo específico de ataque, y no está basado en investigaciones de Fortinet o FortiGuard Labs. Parece que debido a traducciones, la narrativa sobre este tema se ha distorsionado hasta el punto en que los escenarios hipotéticos y reales están borrosos.

Y en caso de que el contexto general sobre el entorno de botnets de IoT sea de interés, FortiGuard Labs está observando actualmente la siguiente actividad:

La botnet Mirai ha sido destronada de su posición número 1. En el Informe del Paisaje de Amenazas Globales del 2S de 2022 de FortiGuard Labs, que fue publicado el 22 de febrero de 2023, Mirai ocupaba el puesto número 1 en términos de Volumen por Organización. Entre el tercer y cuarto trimestre de 2023, el volumen de detección de comando y control de Mirai disminuyó un 36% y actualmente ocupa el puesto número 5.

FortiGuard Labs no ha observado que Mirai u otras botnets de IoT ataquen cepillos de dientes u otros dispositivos integrados similares."

Aargauer Zeitung, el medió que publicó originalmente la noticia, ha publicado una actualización sobre la información tras el comunicado de Fortinet:

"Lo que ahora la sede de Fortinet en California llama un 'problema de traducción' sonó completamente diferente durante la investigación: representantes suizos de Fortinet describieron el caso del cepillo de dientes como un verdadero DDoS en una reunión en la que se discutieron las amenazas actuales: el ataque descrito.

Fortinet proporcionó detalles específicos: información sobre cuánto tiempo duró el ataque el sitio web de una empresa suiza; un orden de magnitud de cuán grande fue el daño. Fortinet no quiso desvelar con qué empresa se encontraba por consideración a sus clientes.

El texto fue enviado a Fortinet para su verificación antes de su publicación. No se objetó la afirmación de que se trataba de un caso real que realmente sucedió. La dirección global de Fortinet ahora ha dado marcha atrás en su comunicado, que fue enviado a varios medios de comunicación internacionales."