Los ataques a las redes domésticas buscan controlar no solo dispositivos tradicionales como computadoras, sino también teléfonos móviles y dispositivos de Internet de las Cosas (IoT). Monerodownloader; una red de bots de minería de criptomonedas, encabeza la lista de botnets que más están afectando en América Latina, seguida por Necurs y Tempedreve.
Para el 2025 se estima que América Latina alcance 1.200 millones de conexiones IoT, de las cuales alrededor del 64% serán para consumidores, incluyendo dispositivos para hogares inteligentes, wearables y vehículos autónomos, entre otros.
Este crecimiento explica el por qué el cibercrimen está aprovechando las redes domésticas para controlar a distancia no solo dispositivos tradicionales como computadoras, sino también teléfonos móviles y dispositivos de Internet de las cosas (IoT) para realizar actividades maliciosas. Por ello, será necesario estar preparados antes de que los ataques se produzcan.
Helder Ferrão, director estratega de industria para Latinoamérica de Akamai, destacó que los usuarios domésticos representan un grupo demográfico que a menudo no es tan seguro como un entorno corporativo.
Los atacantes lo saben y, por lo tanto, buscan formas de monetizar su capacidad para infectar más fácilmente los dispositivos domésticos; estos se convierten en parte de una botnet masiva, con lo cual los atacantes podrían movilizar estos dispositivos zombis para realizar innumerables actividades delictivas cibernéticas sin el conocimiento del usuario, como enviar spam y lanzar ataques DDoS contra las organizaciones.
“Para que las redes de bots tengan éxito o para que los ciberdelincuentes alquilen sus redes de bots, necesitan infectar tantos dispositivos como les sea posible”, mencionó el directivo.
Explicó que “existen datos de ataques realizados en 2022 en los que el número de dispositivos utilizados para un ataque DDoS alcanzó un volumen de más de 1800 puntos de origen distintos, algo muy preocupante ya que hasta 2021 estas cifras no pasaban de unas decenas o cientos”.
Destacó que, “una cantidad significativa del tráfico de ataques se puede correlacionar con malware móvil y botnets de IoT. Otra forma que tienen los atacantes de obtener beneficios económicos afectando a usuarios domésticos es utilizar los recursos informáticos de los dispositivos infectados para fines de minería de criptomonedas”.
El tráfico de bots continúa aumentando constantemente. Según la más reciente investigación por la firma Statista sobre el tráfico fraudulento a través de bots maliciosos, también existe en varios niveles de sofisticación. En general, el 34,4% de los bots maliciosos en 2021 se clasificó como simple, que se conecta desde una única dirección IP asignada por el proveedor de servicio de Internet (ISP). Sin embargo, un total del 25,9% de los bots maliciosos operó a un nivel sofisticado, imitando con éxito el comportamiento humano y eludiendo los métodos de detección de nivel superior.
Los tres botnets que más están afectando
De acuerdo con el informe de Akamai, Attack Superhighway: un análisis del tráfico malicioso en DNS, el tráfico DNS malicioso de las redes domésticas en América Latina de Julio de 2022 a Enero de 2023 destacó que las principales amenazas pertenecen a las redes de bots, lo que podría explicar cómo los atacantes están aprovechando los dispositivos IoT para diferentes fines.
En dicha región, Monerodownloader, una red de bots de minería de criptomonedas, encabeza la lista de grupos de botnets activos con 42 millones de consultas marcadas, seguida de Necurs (34 millones) y Tempedreve (20 millones).
La elevada tasa de adopción de criptomonedas en Latam, alimentada por la alta inflación y las remesas, podría explicar por qué botnets como Monerodownloader encabezan dicha lista. Sin el conocimiento del usuario, los ciberdelincuentes podrían estar utilizando los recursos de los dispositivos de los usuarios con fines de minería y para su propio beneficio económico.
Aunque se sabe muy poco sobre Monerodownloader, algunas de las tácticas que realiza incluyen recopilar información y conectarse a servidores C2 para la carga real. Otros mineros similares de Monero aprovechan las vulnerabilidades, se hacen pasar por software gratuito para atraer a los usuarios a descargar el minero y tienen la capacidad de moverse lateralmente a través de la red e infectar otros dispositivos para obtener la mayor cantidad de ingresos posible.
Por su parte, Necurs plantea un grave riesgo tanto para los usuarios domésticos como para las organizaciones por su capacidad de entregar otras cargas útiles de malware como Dridex, Trickbot y Locky, entre otras. Un factor notable que vale la pena destacar es que esta botnet también vende acceso a computadoras infectadas a otros grupos como parte de sus ofertas de botnets de alquiler.
Se trata de una modalidad que viene creciendo significativamente en la Dark Web que es la venta de servicios de ataque listos y empaquetados (as-a-Service). Además de distribuir ransomware y troyanos bancarios, Necurs también se usa para distribuir varios ataques de spam, como estafas de citas, estafas farmacéuticas, etc.
Tempedreve es un gusano que se dispersa a través de unidades USB infectadas y carpetas de red compartidas y puede aparecer como ‘temp.exe’. Si una computadora se ve comprometida por este gusano, puede añadir un nuevo servicio que puede ser utilizado por los atacantes para recopilar información, robar contraseñas y tomar instantáneas de la pantalla. Además, el gusano Tempedreve puede corromper paquetes de instalación con extensión .msi, documentos PDF y archivos .exe.
A fin de prevenir que el cibercrimen se apodere de los dispositivos domésticos y los conviertan en una botnet masiva, el experto de Akamai, Helder Ferrão, hizo las siguientes recomendaciones:
- Cambiar las contraseñas de todos los dispositivos informáticos de forma frecuente y que sean robustas. Si es necesario, utilice una solución de gestión de contraseñas para poder utilizar contraseñas diferentes para cada acceso de red y aplicación.
- Utilizar productos de acceso remoto seguro, incluida la autenticación de dos factores (MFA), para acceder a las redes de organizaciones privadas. Deben utilizarse en computadoras de escritorio o portátiles, teléfonos o tabletas.
- Configurar una red Wi-Fi separada para los dispositivos de IoT, lo que se conoce como VLAN o red de área local virtual.
- Evitar archivos y sitios web sospechosos ya que puede traer consigo algún tipo de malware.
- Hacer actualizaciones al sistema operativo, programas y aplicaciones.
- Autenticación multi-factor (MFA), aunque el malware logre descifrar las contraseñas será necesario un segundo paso para verificar la identidad del usuario y el hacker no podrá acceder a la información que busca.
Por último, Helder Ferrão destacó que una solución anti-bot superior permitirá la actividad de bots buenos, al tiempo que bloqueará la actividad maliciosa y los ataques de botnets; es importante mencionar que incluso los bots buenos necesitan gestionarse. Además, permite utilizar técnicas específicas, como la ralentización de bots buenos en momentos en los que el sitio tiene un tráfico humano significativo.
