Qué es el “ruido gris” que atrae a los criminales de la web y por qué es casi imposible de evitar
Combatir el "ruido gris" de tráfico web malicioso es un trabajo a tiempo completo para los especialistas en ciberseguridad. Pero, ¿en qué consiste ese problema y por qué es tan difícil de abordar?
Si tu oficina fuera visitada miles de veces al día por criminales que buscan a través de las ventanas cómo colarse en en el edificio, probablemente te resultaría incómodo trabajar en ella.
Sin embargo, cualquier organización con presencia en internet recibe exactamente ese tipo de atención no deseada todo el tiempo.
El investigador de seguridad informática Andrew Morris llama a este bombardeo constante “ruido gris“, un tipo de tráfico web potencialmente dañino que busca acceder a las redes y que resulta muy difícil de distinguir del tráfico benigno.
Morris creó una compañía llamada GreyNoise (ruido gris, en inglés) para registrar, analizar y comprender esa problemática.
“(El ruido gris) es el problema más grande, difícil y extraño que he estudiado“, le cuenta a la BBC.
El especialista registra los intentos de robo usando una red de computadoras llamadas honey–pot (que en español significa trampa o señuelo) por toda la parte de internet que ha configurado.
Desde fuera, esas computadoras se asemejan a los servidores tradicionales y por eso atraen la atención de los bots y ladrones cibernéticos que tratan de acceder a ellas.
Y llaman mucho la atención.
En 2018, la red de Morris recibió hasta cuatro millones de ataques diarios. Sus computadoras honey–pot procesaron entre 750 y 2.000 peticiones de conexión por segundo. El número exacto depende de lo ocupados que estén quienes tratan de acceder a ella en cada momento.
Su análisis muestra que solo un pequeño porcentaje del tráfico web es benigno.
Esa pequeña fracción proviene de los motores de búsqueda que indexan sitios web u organizaciones como la biblioteca digital Internet Archive. Otra parte es de compañías de seguridad e investigadores.
El resto del ruido de internet –en torno al 95%– es malicioso.
Un “apretón de manos” virtual
Puede provenir de virus informáticos que se propagan solos, conocidos como gusanos, los cuales usan una computadora afectada para buscar víctimas nuevas.
También pueden ser cibercriminales que buscan servidores vulnerables a fallos de seguridad específicos, o dispositivos como impresoras o routers que fueron secuestrados para redes de ataque.
- Cómo pueden los hackers convertir tu impresora en su arma
- “12 ataques por segundo”: cuáles son los países de América Latina más amenazados por “malware”
“Hay una cantidad de tráfico absolutamente masiva que está siendo generada por todos estos servidores en internet, y la gran mayoría no es de gente buena”, dice Morris.
“Veo decenas de miles de infecciones cada día”.
Pero bloquear esta marea de tráfico problemático no es fácil. Y eso se debe a que, a primera vista, parece benigno.
Cuando accedes a una página web, tu computadora envía un mensaje primero para comprobar si está activa. Es un proceso estándar que funciona como un “apretón de manos” virtual que usa todo el tráfico legítimo.
Pero los ladrones cibernéticos descubrieron que si se dan ese “apretón” de manera correcta, pueden averiguar información útil sobre una organización concreta y, potencialmente, encontrar una manera de ingresar en ella.
Ruido constante
Solamente cuando alguien se toma el tiempo de rastrear el origen de ese tráfico, resulta obvio que es malicioso.
“Hay un zumbido de conexiones continuo hecho de sistemas para ver qué son y qué hacen”, dice Martin Lee, gerente de actividades de extensión para Talos, el equipo de seguridad de Cisco en Europa.
“Es el ruido constante de las conexiones, como si fuera gente sacudiendo manillas de las puertas o comprobando cerraduras”.
Si pones una computadora desprotegida en la red, será infectada por malware en unos segundos y probablemente sea esclavizada en un ejército de botnet (una gran red de cuentas controladas por software), que llevan a cabo ataques hacia otros objetivos.
“Siempre hay alguien tratando de hackearte”, dice Lee. “Es uno de los hechos banales de internet”.
Teniendo en cuenta que investigar y bloquear es una tarea hercúlea que ningún administrador de red quiere asumir, ese ruido constante es ignorado en gran medida, le cuenta a la BBC Paul Vixie, director ejecutivo de la firma Farsight Security y autor de algunos libros clásicos sobre software.
“En internet, se abusa de todo lo que se puede”, dice él.
Los peores y los mejores “barrios” de internet
Atravesar esa vasta cantidad de información complica mucho las cosas para cualquier administrador de red a la hora de seleccionar los ataques que importan del ruido de fondo. En lugar de eso, simplemente lo registran y siguen adelante.
“La gente no se mete en la administración de la red porque les gusta lo plausible y la belleza”, dice Vixie con pesar.
Andrew Morris está tratando de extraer algunas ideas útiles de su enorme base de datos y usarlas para identificar fuentes de tráfico maliciosas y detectar patrones en intentos de infección.
En última instancia, podría usarse para hacer un filtro capaz de bloquear lo malo. O uno que haga notar a los administradores de la red lo que es verdaderamente perjudicial.
Morris tiene ahora una buena idea de cuáles son los peores “barrios” en internet… y parecen serlos ISPs (proveedores de servicio) brasileños y vietnamitas quienes están haciendo el trabajo más débil a la hora de proteger a sus clientes. Su negligencia permite a quienes tienen malas intenciones entrar en máquinas vulnerables.
A éstos les siguen las empresas de hosting (alojamiento web) en la nube, pues son una fuente importante de ruido gris, dice Morris.
Los buenos “vecindarios” son pocos y distantes entre sí, pero existen.
Uno de los más decentes es Finlandia. El país ha trabajado duro para garantizar que su parte de la red no puede usarse como proxy para ejecutar ataques. Eso ocurre cuando los cibercriminales tratan de cubrir sus huellas falsificando el origen de la petición de conexión.
Finlandia ha puesto en práctica políticas, las cuales ejecuta diligentemente, para limitar el abuso de sus dominios.
Un vocero del centro nacional de ciberseguridad para Finlandia le dijo a la BBC que cuentan con leyes y estatutos que requieren a los ISPs y a los registradores de dominios tratar de limitar el abuso en la medida de lo posible.
También usan herramientas automáticas para escanear el uso malicioso de dominios finlandeses y denunciar cuando haya un abuso.
“Es un factor de éxito para hacer la internet de Finlandia una de las más limpias del mundo en términos de malware”, explicó.
El análisis de Morris sobre el tráfico de zonas de la web peor gestionadas ya ha comenzado a revelar patrones útiles e interesantes.
Los signos tempranos de ataques masivos pueden ser detectados mucho antes de que afecten a todo el mundo. Eso se aplica a varios grandes eventos que protagonizaron titulares, como el hackeo a impresoras de Google.
“Hay un tiempo límite de uso de armas (cibernéticas)”, dice él. “Eso es útil de saber para que los defensores puedan arreglar sus cosas antes de ser golpeados por los hackers”.
“Eso hace que puedan tener tiempo para reaccionar. Hay esperanza”.
Ahora puedes recibir notificaciones de BBC Mundo. Descarga la nueva versión de nuestra app y actívalas para no perderte nuestro mejor contenido.