{"id":2333,"date":"2016-10-24T18:54:10","date_gmt":"2016-10-24T16:54:10","guid":{"rendered":"https:\/\/clouding.io\/blog\/?p=2333"},"modified":"2016-10-25T11:25:57","modified_gmt":"2016-10-25T09:25:57","slug":"dispositivos-iot-y-su-utilizacion-como-proxies","status":"publish","type":"post","link":"https:\/\/clouding.io\/blog\/dispositivos-iot-y-su-utilizacion-como-proxies\/","title":{"rendered":"Los dispositivos IoT y su utilizaci\u00f3n como proxies"},"content":{"rendered":"<p>En este post vamos a analizar c\u00f3mo los delincuentes est\u00e1n utilizando los denominados<strong> dispositivos IoT<\/strong> (Internet de las cosas por sus siglas en ingl\u00e9s) como<strong> proxies<\/strong> para esconder su verdadera localizaci\u00f3n online mientras perpetran una serie de <strong>actividades cibercriminales<\/strong> &#8211; desde frecuentar foros underground hasta el fraude de la devoluci\u00f3n de impuestos.<\/p>\n<p>Recientemente, o\u00ed sobre un investigador en ciberseguridad que hab\u00eda creado un <strong>entorno virtual\u00a0\u00abhoneypot\u00bb<\/strong> dise\u00f1ado para simular dispositivos IoT hackeables. La fuente, que solicit\u00f3 permanecer en el anonimato, declar\u00f3 que su \u00abhoneypot\u00bb pronto empez\u00f3 a ver tr\u00e1fico destinado para Asus y routers Linksys corriendo con credenciales por defecto. Cuando examin\u00f3 lo que ese tr\u00e1fico estaba destinado a hacer, se encontr\u00f3 con que a su sistema \u00abhoneypot\u00bb se le ordenaba que descargase una pieza de un programa malicioso desde un destino de la Web.<\/p>\n<p>Mi fuente cogi\u00f3 una copia del programa malicioso, la analiz\u00f3 y descubri\u00f3 que ten\u00eda dos funciones b\u00e1sicas: anunciar a una serie de direcciones de Internet codificadas en el registro del programa malicioso con el <strong>se\u00f1uelo \u00abEstoy aqu\u00ed\u00bb<\/strong>; y prestar atenci\u00f3n a comandos entrantes, como escanear para detectar nuevos hosts vulnerables o correr programas maliciosos adicionales. Lo siguiente que hizo fue escribir un script para simular los se\u00f1uelos \u00abEstoy aqu\u00ed\u00bb, interpretar cualquier comando de \u00abdescargar\u00bb y despu\u00e9s ejecutar los comandos de \u00abcorrer\u00bb y \u00abdescarga\u00bb.<\/p>\n<p>El investigador se dio cuenta de que si se empujaba el programa malicioso a este sistema \u00abhoneypot\u00bb, \u00e9ste estaba dise\u00f1ado para convertir su router infectado en un<strong> \u00abservidor proxy SOCKS\u00bb<\/strong>, esencialmente, un host dise\u00f1ado para enrutar tr\u00e1fico entre un cliente y un servidor. Muy a menudo, los proxies SOCKS se usan para convertir las comunicaciones en an\u00f3nimas, porque pueden ayudar a ocultar el origen verdadero del cliente que est\u00e1 usando el servidor SOCKS.<\/p>\n<p>Cuando se dio cuenta de c\u00f3mo su sistema estaba siendo usado, mi fuente encendi\u00f3 varios \u00abhoneypots\u00bb virtuales m\u00e1s y repiti\u00f3 el proceso. Utilizando una<strong> herramienta de customizaci\u00f3n<\/strong> que permite al usuario interceptar (tambi\u00e9n conocido como \u00abhombre-en-el-medio\u00bb) tr\u00e1fico SSL encriptado, el investigador pudo recoger los datos encriptados subyacentes que pasaban a trav\u00e9s de sus servidores SOCKS y desencriptarlos.<\/p>\n<p>Lo que observ\u00f3 fue que todos los sistemas se usaban para una variedad de maldades, desde el proxying tr\u00e1fico Web destinado para forums de ciber crimen hasta el testeo de tarjetas de cr\u00e9dito en websites de compraventa. Un estudio m\u00e1s en profundidad de los expedientes de programas maliciosos y los se\u00f1uelos de tr\u00e1fico emanando desde los sistemas \u00abhoneypot\u00bb lo que indic\u00f3 fue que sus honeypots estaban siendo <strong>comercializados en un servicio criminal de base web<\/strong> que vende acceso a proxies SOCKS a cambio de Bitcoins.<\/p>\n<p>Desafortunadamente, esta clase de proxying criminal no es nuevo. KrebsOnSecurity ha presentado numerosas historias sobre servicios de cibercrimen que venden acceso a ordenadores hackeados como un medio para ayudar a los ladrones a que sus actividades online permanezcan an\u00f3nimas.<\/p>\n<div class=\"entry\">\n<p>Y mientras que la actividad que mi fuente presenci\u00f3 con su proyecto honeypot, destap\u00f3 routers de Internet con problemas de seguridad, no hay ninguna raz\u00f3n por la que el mismo tipo de proxying no pueda ser hecho a trav\u00e9s de otros dispositivos IoT que no son seguros por defecto, como <strong>c\u00e1maras de seguridad basadas en Internet y grabadoras de video digital<\/strong>.<\/p>\n<p>Ciertamente, lo que yo intuyo es que as\u00ed es como estos otros tipos de dispositivos IoT hackeados est\u00e1n siendo usados ahora.<\/p>\n<p>\u00abDe alguna manera, esto se parece a los ordenadores de 1995-2000\u00bb, me dijo mi fuente. \u00abLos dispositivos se estaban aproximando al online, el antivirus no era tan com\u00fan, y la gente no sab\u00eda que el pc medio de una persona pod\u00eda ser utilizado para hacer algo m\u00e1s. La diferencia ahora es que <strong>el n\u00famero de vendedores y dispositivos ha proliferado, y hay un ecosistema underground con el expertise para explotar,<\/strong> escribir el software a medida. Adem\u00e1s, lo que una sola persona hace puede ser compartido f\u00e1cilmente con un peque\u00f1o grupo o con el mundo entero\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>En este post vamos a analizar c\u00f3mo los delincuentes est\u00e1n utilizando los denominados dispositivos IoT (Internet de las cosas por sus siglas en ingl\u00e9s) como proxies para esconder su verdadera localizaci\u00f3n online mientras perpetran una serie de actividades cibercriminales &#8211; desde frecuentar foros underground hasta el fraude de la devoluci\u00f3n de impuestos. Recientemente, o\u00ed sobre [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":2381,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[88,31],"tags":[290,291,289,79,292],"yst_prominent_words":[2018,3052,3062,3054,3048,3056,3055,1962,3061,3057,3058,582,2427,3049,3051,3060,3053,3050,3059,2504],"class_list":["post-2333","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad","category-usuarios","tag-ciber-crimen","tag-honeypot","tag-iot","tag-proxy","tag-senuelo"],"acf":[],"_links":{"self":[{"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/posts\/2333","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/comments?post=2333"}],"version-history":[{"count":3,"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/posts\/2333\/revisions"}],"predecessor-version":[{"id":2344,"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/posts\/2333\/revisions\/2344"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/media\/2381"}],"wp:attachment":[{"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/media?parent=2333"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/categories?post=2333"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/tags?post=2333"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/clouding.io\/blog\/wp-json\/wp\/v2\/yst_prominent_words?post=2333"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}