Un ataque se lleva por delante un millón de routers

El ataque de Mirai esta vez apunta a los routers

La cada vez más conocida red de bots de Mirai ha vuelto a hacer de las suyas. Esta vez el objetivo no han sido los servidores de las grandes empresas de Estados Unidos, sino que los afectados han sido directamente los usuarios de Internet de una popular compañía telefónica alemana.

Hasta 900.000 clientes de la operadora Deutsche Telekom han sufrido caídas en la conexión durante este pasado fin de semana en lo que ya se ha confirmado que ha sido un daño colateral de un ataque de la botnet Mirai.

La operadora ha conseguido contener el ataque, pero su potencia fue tal que hasta el 4-5% del total de los routers de los clientes se vieron afectados de alguna forma. Eso generó cortes y caídas en el servicio durante buena parte del sábado y del domingo.

El último ataque de Mirai se notó en un país entero: Liberia entera se quedó sin Internet

Los routers no eran el objetivo del ataque, sino que lo que pretendían los atacantes era convertir a los clientes de la operadora en miembros de una red zombi que posteriormente sí atacaría los servidores de otras empresas. Por supuesto, los usuarios jamás sabrían que han formado parte del ataque, de ahí que esta técnica reciba el nombre de red zombi.

Así, no contentos con el que recientemente ya se ha convertido en uno de los mayores ataques de la historia de Internet, los responsables de este nuevo intento querían ir un paso más allá para utilizar los routers de los usuarios como miembros de una enorme red que tendría la capacidad de llevarse por delante durante horas la gran mayoría de las páginas y servicios de la red. 

¿Qué es el Internet de las Cosas?

Los atacantes conocían de antemano las debilidades de los routers, y han ido directamente a por los aparatos que tenían el puerto 7547 abierto, tal y como señalan en Ars Technica.

La operadora ya ha empezado a distribuir una actualización que soluciona este agujero de seguridad, pero en todo el mundo hay millones de routers que vienen con el puerto 7547 abierto por la sencilla razón de que es el puerto utilizado para las tareas de mantenimiento.

Es solamente cuestión de tiempo que los atacantes descubran a una operadora que no esté preparada para afrontar un ataque de este calibre. Y entonces puede que los servidores de las grandes empresas tarden mucho más que unas pocas horas en recuperarse.

 Si usas una de estas 10 contraseñas, tienes un serio problema

[Más información: Nota de prensa en alemán]