Un ataque hacker masivo que ha tenido más de 600.000 routers como víctimas ha creado gran preocupación entre los expertos en seguridad. No solo por la magnitud del incidente, sino también por sus consecuencias. Si este tipo de incidentes se repite, el sector se encontrará ante problemas serios.
El nombre de Pumpkin Eclipse es posible que no te suene, pero se trata del identificador de una botnet de malware que se ha descubierto que fue responsable el pasado año del que se podría decir que ha sido el ataque hacker a routers más grave de la historia. Más de 600.000 routers han quedado destruidos en el proceso sin que exista ninguna posibilidad de reparación.
Sin opción ni alternativa
Dicen los investigadores de Black Lotus Labs que la situación posiblemente podría haber sido mucho peor. Que más de 600 mil routers se vieran afectados es gravísimo, pero la única nota positiva es que todos se encontraban conectados a la misma operadora. Ocurrió en Estados Unidos a final de octubre de 2023 y ha sido algo que ha estado estudiándose a fondo hasta que, ahora, acaba de salir la información a la luz.
Los usuarios que vieron cómo su router dejaba de funcionar no tuvieron ningún tipo de opción, alternativa ni capacidad para librarse del ataque. Su conexión quedó offline y los routers no se volvieron a conectar. Este tipo de ataque tan drástico y destructivo ocurrió concentrándose en tres únicos modelos de router: Sagemcom F5380, ActionTec T3260s y ActionTec T3200s. Pero el modelo de router es lo de menos, puesto que no parece que el ataque se produjera a consecuencia de un fallo de seguridad o de algún tipo de error que se hubiera producido en la fabricación de los dispositivos.
Se desconoce qué sufrió el ataque
A fin de no poner en jaque el futuro de ninguna empresa, los especialistas en seguridad de Black Lotus Labs han preferido no mencionar cuál es la operadora que sufrió el ataque. Posiblemente hayan tomado una buena decisión, dado que ya dejan claro que este tipo de incidente se podría replicar en otras empresas y que lo importante de su descubrimiento es concentrarse en el aprendizaje. De todas formas, ya hay quienes especulan sobre cómo la operadora en cuestión podría ser una determinada de la que muchos usuarios se quejaron meses atrás.
Hubo personas que comentaron justamente a lo que ha hecho referencia el equipo de investigadores, indicando que la luz de su router se había puesto roja de repente y que no había forma de solucionarlo. Posiblemente, en cualquier caso, la operadora proporcionó nuevos routers a todos los usuarios afectados, por lo que tampoco se debería tratar de un gran problema.
Dicen desde Black Lotus Labs que el incidente ocurrió durante un periodo de 72 horas y que, aparentemente, no ha dejado rastro sobre cómo puede haberse llevado a cabo. Ese es un problema adicional, puesto que de muchos ataques queda constancia del método utilizado por los hackers, mientras que de esta operación no hay ninguna pista definitiva. Los investigadores mencionan que puede haber dos teorías. La primera sería que los hackers conocían algún tipo de vulnerabilidad de día cero de la que no ha quedado constancia. La segunda habría sido una combinación de acceso no autorizado con credenciales robados que les podría haber dado conexión a la interfaz de administración de la operadora.
Sea cual fuera el método utilizado, es obvio que en Black Lotus Labs están muy preocupados por el tipo de incidente y por lo que podría suponer si se llegase a producir de nuevo. Lo que sí saben es que el troyano utilizado en el programa se llamaba Chalubo y que tenía a su merced 45 paneles de malware con más de 650.000 direcciones IP interconectadas. El ataque se produjo en Estados Unidos y ha dejado muchas dudas que todavía no se han resuelto.
Dicen los expertos que es preocupante, obviamente, que no sepan cómo llegaron a estropear los hackers los routers a distancia y tampoco conocen exactamente la motivación detrás del ataque. Si tenemos en cuenta que los rumores apuntan a que la operadora que fue víctima es una que ofrece servicios a comunidades de habitantes vulnerables de Estados Unidos, resulta un ataque mucho más dramático. Por ello, es más que probable que este incidente se vaya a seguir de cerca para intentar que no vuelva a producirse algo parecido.