Según el analista Gartner, este tipo de dispositivos IoT ha crecido un 143% durante los últimos tres años y en 2020 ya habrá 20.400 millones en todo el mundo. “Los dispositivos IoT se están multiplicando a gran velocidad, pero las medidas de seguridad que incorporan siguen siendo bastante laxas. Esto es un problema, ya que a través de ellos es posible atacar infraestructuras críticas, lo que significa que se puede llegar a poner en riesgo la vida de las personas”, dice David Warburton, Senior Threat Research Evangelist EMEA en F5 Networks.
En la quinta edición del informe The Hunt for IoT de F5 Labs se señala también que solo durante la primera mitad de 2018 se han descubierto trece nuevos Thingbots3, mientras que en todo el año 2016 se identificaron nueve y solo seis en 2017.
Según el informe de F5 Labs, España ha sido el país más atacado durante los últimos 18 meses. Así, durante el primer semestre de 2018, ha soportado el 80% de todo el tráfico de ataques a través de dispositivos IoT. Rusia, Hungría, Estados Unidos y Singapur también sufren una importante presión en este tipo de actividad.La mayoría de los ataques identificados entre el 1 de enero y el 30 de junio de 2018 se originaron en Brasil (18%), China (15%), Japón (9%), Polonia (7%), Estados Unidos (7%) e Irán (6%).
Los dispositivos IoT más infectados fueron routers de pequeñas empresas, cámaras IP, DVRs y CCTVs (cámaras de seguridad). Los ataques de denegación de servicio (DDoS ) siguen siendo el método más utilizado . Sin embargo, durante este año los hackers han comenzado a adaptar los thingbots bajo su control para iniciar nuevas tácticas, como la instalación de servidores proxy para lanzar ataques desde ellos, cryptojacking, instalación de nodos Tor y rastreadores de paquetes, secuestros de DNS, robo y relleno de credenciales y troyanos de fraude.
El método más común de los hackers para identificar e infectar a los dispositivos IoT es el rastreo de Internet en busca de servicios abiertos de administración remota. Los protocolos Telnet y Secure Shell (SSH) son los más populares, seguidos por los protocolos Home Network Administration (HNAP), Universal Plug and Play (UPnP), Simple Object Access (SOAP), y diferentes protocolos de control de transmisión (TCP) de puertos que utilizan los dispositivos IoT.
Asimismo, los hackers se aprovechan de las vulnerabilidades presentes en los dispositivos y en las infraestructuras IoT (servidores y bases de datos a los que se conectan estos dispositivos). Según F5 Labs, el 62% de los dispositivos IoT analizados presentan unas credenciales predeterminadas por sus proveedores que son muy débiles y fácilmente vulnerables.
Durante 2018, las 50 principales direcciones IP desde las que se han iniciado ataques han cambiado. Esto representa una gran novedad con respecto a los cuatro informes anteriores de F5 Labs, en los que siempre aparecían las mismas direcciones IP. F5 Labs considera que esto puede deberse tanto a la aparición de nuevos grupos de ciberdelincuentes como a la transición a nuevos sistemas de los ya existentes. En el origen de estas direcciones IP también hay novedades, apareciendo por primera vez países como Irán e Irak.
Otra conclusión clave de este informe es que la actividad de Mirai, el thingbot más potente hasta la fecha, aún continúa, especialmente en Europa. La realidad no es solo que Mirai siga presente, sino que existen al menos 10 vástagos del mismo a tener en cuenta: Annie, Satori/Okiru, Persirai, Masuta, Pure Masuta, OMG, Sora, OWARI, Omni, y Wicked.
