Las amenazas a la ciberseguridad —incluidas las botnets— han aumentado durante el confinamiento forzado por la pandemia de COVID-19. Un reporte reciente del FBI señala que entre los objetivos predilectos se cuentan las instituciones de salud. Los hackers aprovechan la preocupación generada por la enfermedad para canalizar sus ataques. En algunos casos, engañan a los usuarios mediante phishing distribuido vía correo electrónico. En otros, al navegar por la web los inducen a visitar sitios infectados para instalar malware.
Entre el software malicioso utilizado por los delincuentes se cuenta el utilizado para infectar dispositivos y convertirlos en bots, parte de una botnet o red de robots (robot network). Los aparatos infectados no son únicamente computadoras, sino que cualquier equipo conectado a la Internet es un potencial blanco. En otras palabras, lo mismo pueden ser afectados un refrigerador que una cámara de circuito cerrado, un televisor, un teléfono inteligente o un reproductor de audio.
Las primeras botnets surgieron hace más o menos dos décadas, de acuerdo con un análisis publicado por IBM. Originalmente, tenían una arquitectura de cliente-servidor. Ahora, con mayor frecuencia, utilizan una arquitectura peer-to-peer (P2P), lo cual dificulta desmantelar la red.
Conforme se incrementa el número de dispositivos conectados a la Internet de las Cosas Médicas (IoMT), existen más incentivos para que ataquen los hackers. Esto se debe, por una parte, a la naturaleza de la información personal que procesan y, por otra, a que el daño causado puede ser muy grande, lo cual multiplica el potencial beneficio de los delincuentes. Además, muchos de dichos aparatos no fueron diseñados con la seguridad de la información en mente. Es decir, carecen de carecen de instancias intrínsecas de seguridad. Para empeorar el panorama, muchos de ellos no son susceptibles de recibir actualizaciones de seguridad.
Botnets vs instituciones de salud
Todas la infecciones de esta clase comienzan con un algún tipo de malware, generalmente un troyano o un gusano. Para propagarse suelen usar ataques de fuerza bruta dirigidos a puertos protegidos por credenciales débiles o bien, utilizan alguna debilidad (exploit) como EternalBlue.
En otras ocasiones, se instala con la participación involuntaria del usuario, mediante el correo electrónico. En este caso, descargar o abrir archivos adjuntos suelen dar paso a la infección. Una manera más de infectar los equipos consiste en inducir al usuario a hacer clic en alguna liga que conduce al malware, el cual, una vez que se instaló, procede a descargar el programa que convierte en bot al dispositivo.
Los aparatos infectados son controlados por uno o varios hackers denominados bot masters o bot herders. Lo hacen mediante el un protocolo de “Comando y Control” (C&C) que implementan de manera remota.
La afectación de un equipo no siempre es aparente de modo inmediato, aunque el bot master lo utilice para ejecutar tareas encubiertas, como esparcir spam, realizar criptominería o participar en ataques de denegación de servicio (DDoS). De hecho, es muy común que el usuario legítimo no se percate de la situación, lo que ha llevado a comparar metafóricamente a esos equipos con zombies.
Dos de las botnets que más afectan a los instituciones de salud son:
● Gh0st Rat: mediante una herramienta de administración remota (RAT), puede tomar control completo de la máquina infectada y registrar y transmitir la información introducida mediante el teclado, la cámara o el micrófono, entre otras cosas.
● Bladabindi: también conocido como njRAT, tiene características similares al anterior, con la añadidura de que puede robar credenciales almacenadas, como los nombres de usuario y las contraseñas. Además de la Internet, usa memorias USB para propagarse.
Amenazas significativas
Las botnets pueden llegar a ser muy extensas. En marzo pasado, Microsoft reportó la desactivación de una botnet denominada Necurs, que llegó a contar con más de 9 millones de dispositivos infectados. Los bots eran utilizados para distribuir malware y perpetrar estafas por medio de phishing. Para ello, enviaban correos electrónicos que hacían pasar como provenientes de empresas farmacéuticas.
Las botnets pueden tener periodos de inactividad, a veces más o menos prolongados, con lo que es fácil creer que han sido neutralizados. Pero no siempre es así. En ocasiones, los hackers aprovechan esos hiatos para reescribir partes del malware. Un ejemplo recientemente detectado es la reactivación de la botnet Emotet, cuyo repunte puede estar relacionado con el desmantelamiento de Necurs.
Diseñada para robar información, Emotet ha sido señalada por el Departamento de Seguridad Nacional de Estados Unidos (Homeland Security) como una de las botnets más destructivas. Sus ataques suelen significar altos costos económicos para las entidades afectadas, tanto por la información robada como por el costo de eliminar el malware de los dispositivos infectados.
En su nueva iteración, los hackers utilizaron varias estrategias de programación para evadir la detección de los programas antimalware, lo cual incrementa su peligrosidad. Además, aparte de robar información, este malware puede ser utilizado como vector para instalar otros programas maliciosos. Ello vuelve aún más preocupante su retorno.
Buenas prácticas
Si bien todos los dispositivos de la IoMT son susceptibles de ataque, los preferidos por los hackers se concentran en los monitores remotos, termómetros y sensores de temperatura, bombas de insulina y de infusión y plumas inteligentes. Su atractivo reside en la información personal que recolectan: además de los datos almacenados en el dispositivo mismo, pueden ser utilizados como punto de entrada para accede al sistema de expedientes clínicos electrónicos (ECE) y de ahí propagarse a toda la red de la clínica u hospital.
Como siempre que se trata de ciberseguridad, es esencial entrenar adecuadamente al personal para que sigan las medidas adecuadas. En particular, evitar que una red sea infectada y convertida en parte de una botnet incluye:
●Actualizar el sistema operativo y todo el software de manera regular.
●Proporcionar a todos los usuarios entrenamiento regular para que puedandetectar ciberamenazas y sepan cómo actuar ante ellas.
●Usar passwords robustos. Un buen gestor de contraseñas puede facilitar la tarea.
●Utilizar software de seguridad confiable.
●Monitorear las redes de manera regular para identificar cualquier cambio sospechoso en el tráfico de información.