No es ningún secreto el bombardeo constante de ciberataques que mantiene Rusia contra EEUU. El pasado mes de abril el US-Cert, el organismo encargado de la seguridad informática en Estados Unidos, publicó un informe alertando sobre la actividad de espionaje generalizado que lleva a cabo Rusia a través de los routers instalados en pequeñas empresas americanas.
En este contexto de guerra cibernética, los especialistas en ciberseguridad de F5 Networks han detectado un incremento de los ataques dirigidos contra Singapur durante la celebración de la cumbre de USA y Corea del Norte en ese país el pasado 12 de junio.
Índice de temas
Datos reseñables
- Rusia fue el origen del 88% de los ataques contra Singapur durante el 12 de junio de 2018. El objetivo principal fueron los teléfonos VoIP y los dispositivos IoT.
- La actividad maliciosa consistió, principalmente, en exploraciones de reconocimiento en busca de sistemas vulnerables que se llevaron a cabo desde una única dirección IP de Rusia (188.246.234.60). Se produjeron también ataques reales que se originaron tanto en Rusia como en Brasil.
- El principal objetivo fue el protocolo SIP 5060, utilizado por los teléfonos IP. SIP es el protocolo que utilizan los teléfonos IP y 5060 es un puerto no encriptado. Hasta el momento, no es común que este puerto se convierta en objetivo de los ciberataques. En este caso, seguramente los hackers trataron de obtener acceso a teléfonos inseguros o quizá al servidor de voz sobre IP (VoIP).
- En segundo lugar, se atacaron los puertos Telnet, utilizados para acceder de forma remota a cualquier dispositivo IoT. Telnet es el puerto de gestión remota más popular entre los ciberdelincuentes que buscan hacerse con el control de dispositivos conectados a Internet. En el caso de Singapur, seguramente se buscaba interceptar comunicaciones y recopilar datos.
- También fueron objetivo los puertos 7457, que permiten a los ISP (proveedores de servicios de Internet) administrar de forma remota los routers situados en las instalaciones de sus clientes.
Para evitar este tipo de ataques
- Proteger la gestión remota de cualquier dispositivo que tenga conexión a Internet con un firewall o una VPN. No permitir nunca la comunicación abierta de estos dispositivos en Internet.
- Cambiar siempre las contraseñas de los dispositivos que vienen predeterminadas por el fabricante.
- Llevar a cabo las actualizaciones de seguridad que indiquen los fabricantes de estos dispositivos.