¿Es posible crear una botnet en la nube?

botnet-nube-623x432

El siguiente post nos llega a través de WeLiveSecurity y es obra de nuestro compañero en ESET Latinoamérica Pablo Ramos.

En más de una ocasión hemos presentado análisis y estudios sobre qué es una botnet, cómo actúa y las capacidades que puede tener. En esta ocasión nos gustaría compartir una muy interesante investigación que se presentó hace unos días en la pasada en Black Hat USA 2014, de la mano de Rob Ragan y Oscar Salazar en su charla “CloudBots: Harvesting Crypto Coins like a Botnet Farmer, en la que se dio respuesta a una interesante pregunta: ¿se puede crear una botnet en la nube?

Los investigadores plantearon la posibilidad de que cibercriminales utilicen servicios gratuitos en la nube para la generación de bitcoins, una moneda criptográfica para cuya generación se necesita de grandes cantidades de procesamiento. La presentación hizo hincapié en servicios gratuitos y diferentes técnicas que permiten el abuso de dichos servicios, a través de la generación de cuentas falsas.

¿Puede alguien crear miles de cuentas en servicios gratuitos?

Sí. La nube ofrece una gran capacidad de procesamiento, pero, ¿qué es realmente la “nube”? En pocas palabras, se trata de la externalización de hardware y recursos donde un usuario paga una suma de dinero por la que recibe a cambio una capacidad de procesamiento y disponibilidad de los servicios.

Según el tipo de servicio que contrate, deberá abonar diferentes sumas de dinero; sin embargo, existen servicios gratuitos donde lo único que se necesita para crear una cuenta es una dirección de correo electrónico. Entre los procesos de validación más utilizados por los servicios en la nube los investigadores detallaron:

  • Verificación del correo electrónico
  • Captchas
  • Validación con tarjetas de crédito
  • Número de teléfono

De los cuatro métodos descritos anteriormente, el primero es el más utilizado por los servicios gratuitos, sin embargo, muchas empresas que ofrecen esta posibilidad no validan ni siquiera las direcciones de correo proporcionadas. El riesgo de no validar las cuentas de correo, o cualquiera de los otros métodos, hace que para los cibercriminales sea muy sencillo crear miles de cuentas de correo y automatizar los procesos de registro.

¿Y minar Bitcoins en la nube?

Como parte de la investigación, una vez que se automatiza la creación de las cuentas, sólo queda resolver la problemática de cómo minar bitcoins. Para esta parte, la creación de scripts de automatización y ciertos frameworks como Fabric, basado en Python, fueron la llave para solucionar este inconveniente y poner miles de cuentas a generar LiteCoins.

Débiles procesos de verificación y automatización, un cóctel para cibercriminales

La combinación de la falta de procesos de verificación y validación de cuentas en conjunto con herramientas que permiten la instalación y configuración de sistemas de manera automática pueden abrir las puertas a los cibercriminales. Ragan y Salazar demostraron cómo este tipo de acciones podrían llevar al abuso de los términos y condiciones de estos servicios basados en la implementación de correctos procesos de validación.

El resultado de que atacantes abusen de este tipo de servicios les permite generar dinero sin ningún tipo de inversión, lo utilicen para generar LiteCoins, propagar amenazas informáticas o montar un panel de control.

Hacia el final de la charla, y como reflexión del estudio, los investigadores plantearon de qué manera podríamos afrontar este tipo de abusos y evitarlos, sin señalar culpables. El ofrecimiento de servicios gratuitos es útil y provechoso  ya sea para personas que están comenzando un negocio, entusiastas de la tecnología o aficionados. Sin embargo, esto no deja de lado que la seguridad y la implementación de procesos de validación sean necesarios para evitar estas situaciones.

Incluso los servicios gratuitos deberían tener definido un correcto proceso de validación de cuentas ya sea mediante la validación de correos electrónicos o captchas. En determinadas ocasiones el apoyo del management es más que necesario para garantizar un servicio eficiente y seguro. En esta oportunidad se demostró que es viable para los cibercriminales crear una botnet en la nube para la generación de LiteCoins. ¿Qué crees que se podría hacer para detenerlos?

Créditos imagen: ©*n3wjack’s world in pixels/Flickr

Josep Albors

Comentar

Tu dirección de correo electrónico no será publicada.

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..