NETSCOUT Arbor informó que cerca de 27 mil millones de dispositivos de Internet de las Cosas (IoT) en 2017 y que llegarán a 125 mil millones para el 2030, según un nuevo análisis de IHS Markit2, constituye un objetivo atractivo para los autores de malware.

René Hernández, especialista en Ciberseguridad de esta firma, indicó que cualquier objeto cotidiano que integre un sistema operativo y tenga capacidad de red (enviar/recibir datos a través de una red) puede considerarse un dispositivo de IoT; estos productos se lanzan rápidamente al mercado y tienen un costo bajo. Debido a estos factores pueden sufrir los tipos más básicos de vulnerabilidades.

El experto informó que entre las principales vulnerabilidades a dispositivos IoT se incluyen credenciales predeterminadas dentro del código fuente, desbordamientos de búfer e inyección de comandos.

“La mayoría de los dispositivos IoT para consumidores contienen este tipo de vulnerabilidades; cuando se lanzan parches para abordar estos problemas, rara vez se aplican. Típicamente, un consumidor conecta un dispositivo IoT y nunca contempla el aspecto de seguridad, o tal vez no comprende la necesidad de aplicar actualizaciones y parches de seguridad con regularidad”, destacó Hernández.

Desde el ataque de la botnet Mirai, el cual es visto como revolucionario para el malware que se dirige a IoT, ya que ha causado destrucción en todo el mundo y ha popularizado el malware basado en IoT. Los autores de botnets de IoT lo han usado como un marco con nuevas capacidades y funcionalidades a la vez que hacen algunas mejoras para construir cuatro nuevas variantes de Mirai: Satori, JenX, OMG y Wicked, a través de los cuales los ciberatacantes añaden su propio estilo.

Satori aprovechó los exploits de inyección de código remoto para mejorar el código de Mirai, mientras que JenX eliminó varias características del código y en su lugar se basó en herramientas externas para escaneo y explotación. OMG, un participante reciente en la escena de malware de IoT, aprovecha el código fuente de Mirai y lo expande para agregar capacidades de proxy HTTP y SOCKS.

Mientras que Wicked, el último secuaz de Mirai, aprovecha los defectos de la ejecución de código remoto (RCE) para infectar los ruteadores Netgear y los dispositivos CCTV-DVR. Cuando se encuentran dispositivos vulnerables, se descarga y ejecuta una copia del bot de Owari; a menudo, el escaneo y la explotación de dispositivos pueden automatizarse, lo que hace que cualquier dispositivo susceptible se convierta en parte de la botnet.