Una nueva variante de Mirai ha hecho saltar las alarmas recientemente por la nueva dimensión que ha adquirido al abrir enormemente el abanico de dispositivos a los que enfoca sus ataques, entre los que se incluyen routers de diferentes fabricantes, dispositivos de almacenamiento en red, y cámaras IP. Pese a que su autor original lleve tiempo en la cárcel, el hecho de que el código esté disponible en internet ha hecho que estén proliferando las variantes del mismo.
El objetivo de esta nueva variante son principalmente dispositivos que mantengan sus claves por defecto, lo que nos lleva a uno de los típicos problemas de «eslabón débil» en la ciberseguridad. Al igual que una cadena, la fortaleza total de un entorno IT equivale a la fortaleza de su eslabón más débil. Así, tener conectados dispositivos a una red sin haber cambiado sus claves por defecto crea un eslabón tan débil que invalida todo el trabajo por mejorar y fortalecer los eslabones principales de la cadena de ciberseguridad (firewalls, IPS, IDS…)
La formación vuelve a ser un punto clave. La ciberseguridad es algo tan transversal que impacta sobre la organización al completo. Todo trabajador debe tener ciertos conocimientos mínimos sobre ciberseguridad, ciertas nociones. Ya que cualquier trabajador puede estar creando un eslabón débil. Se me ocurre el ejemplo del administrativo que carga su móvil en el ordenador del trabajo usando el puerto USB, y que, sin darse cuenta de una mala configuración, está habilitando una conexión 4G no gestionada que crea una enorme puerta trasera de entrada a la red corporativa.
Lo interesante de esta variante, como ya ha sucedido anteriormente, es que su vector de ataque se centra en las personas; en su desconocimiento, su vagancia, su dejadez, o simplemente su incompetencia. El hecho de que existan tantos ataques con dicha orientación hace ver que, por un lado, el eslabón débil sigue siendo un recurso fácil de explotar, con una alta probabilidad de éxito. Y por otro lado, hace ver también que seguimos sin conseguir crear una cultura de ciberseguridad suficientemente robusta como para invalidar la mayoría de este tipo de ataques.
Y en este caso, como en otros, no se trata de una formación compleja que requiere conocimientos avanzados de informática, redes o criptografía. Basta con ser consciente de que hay que cambiar la clave por defecto.
Fuentes:
The Hacker News: https://thehackernews.com/2019/03/mirai-botnet-enterprise-security.html
Palo Alto Networks: https://unit42.paloaltonetworks.com/new-mirai-variant-targets-enterprise-wireless-presentation-display-systems/