El descubrimiento de que millones de dispositivos domésticos digitales están propiciando en secreto peligrosos ciberataques comenzó con una llamada telefónica, hace más de dos años, de un alto ejecutivo de seguridad de Microsoft a su homólogo en Comcast.
Los autores de ciberataques patrocinados por Estados-nación recurren cada vez más a redes de proxies residenciales para ocultar su tráfico, convirtiendo los dispositivos electrónicos de uso cotidiano en una amenaza global
El descubrimiento de que millones de dispositivos domésticos digitales están propiciando en secreto peligrosos ciberataques comenzó con una llamada telefónica, hace más de dos años, de un alto ejecutivo de seguridad de Microsoft a su homólogo en Comcast.
El gigante tecnológico estaba investigando una intrusión digital que la empresa había relacionado con uno de los adversarios más peligrosos del mundo en materia de ciberseguridad y necesitaba información sobre seis direcciones IP, el equivalente en Internet a un número de teléfono.
Siguiendo esa pista, los investigadores de Comcast descubrieron que Midnight Blizzard, un grupo de hackers vinculado al Servicio de Inteligencia Exterior de Rusia, había logrado acceder a los correos electrónicos de los altos directivos de Microsoft utilizando conexiones a Internet de particulares para enmascarar el tráfico malicioso.
El hallazgo de Comcast ha sacudido el mundo de la ciberseguridad y ha llevado años desentrañarlo: se han importado a EEUU más dispositivos de bajo coste para consumidores con software de puerta trasera preinstalado, y este software también se está introduciendo de forma encubierta en aplicaciones móviles y en copias ilegales de videojuegos sin derechos de autor.
El software ha convertido decenas de millones de dispositivos de consumo en redes de computación en la nube con fines delictivos. Estas redes no solo se utilizan para cometer fraudes, sino que también han sido adoptadas por hackers respaldados por gobiernos que buscan ocultar sus vínculos con países como Rusia, China, Irán y Corea del Norte.
Denominadas «redes de proxies residenciales», estos servicios permiten a cualquiera que pague por ellos desviar su tráfico de Internet a través de una dirección externa. Es como un Airbnb del acceso a Internet. No todos los usuarios de estas redes son delincuentes, pero responsables gubernamentales y del sector afirman que las redes de proxies residenciales han crecido enormemente en tamaño y riesgo en los últimos años. La Digital Citizens Alliance, un grupo de defensa de los derechos digitales, estima que solo en Estados Unidos hay 20 millones de estas puertas traseras.
«Se trata de un problema aún mayor debido a la magnitud de las cifras», afirma Noopur Davis, directora de seguridad de la información de Comcast. Según ella, es uno de los problemas más preocupantes a los que se ha enfrentado la empresa de telecomunicaciones.
Las redes de proxies residenciales se han convertido en un recurso imprescindible para los hackers patrocinados por Estados, que las utilizan como vía de acceso a objetivos estadounidenses, según Brett Leatherman, subdirector de la División Cibernética de la Oficina Federal de Investigación (FBI). «Si estos actores consiguen acceder a direcciones IP con sede en EEUU, tienen una ventaja a la hora de atacar a organismos gubernamentales, empresas y otros objetivos», señala.
En abril, organismos gubernamentales de nueve países, entre ellos EEUU, el Reino Unido, Alemania y Japón, han advertido de que hackers chinos patrocinados por el Estado estaban utilizando redes de dispositivos de consumo pirateados para llevar a cabo sus operaciones, «lo que dificulta la atribución de la actividad maliciosa», según un comunicado conjunto.
Los hackers patrocinados por el Estado chino solían borrar sus huellas pirateando los propios dispositivos de los consumidores, pero eso ha cambiado, afirma Leatherman.
La investigación de Comcast comenzó en febrero de 2024. Todo empezó con una llamada telefónica que recibió Davis de su homólogo en Microsoft, Igor Tsyganskiy, quien quería saber más sobre las seis direcciones IP de Comcast.
Los investigadores de Comcast descubrieron finalmente que las direcciones IP que Tsyganskiy había facilitado pertenecían a clientes que formaban parte de una red de proxies residenciales gestionada por un proveedor chino llamado IPidea, según explicó Davis.
IPidea ha utilizado una serie de métodos engañosos para instalar su software en dispositivos de consumo, entre ellos preinstalarlo en dispositivos de streaming de vídeo y marcos digitales. A continuación, la empresa alquila el acceso a los dispositivos en los que está instalado su software para que sus clientes puedan desviar su tráfico de Internet a través de otra red doméstica.
Esto permitiría, por ejemplo, que un usuario de Moscú desviara su tráfico a través de una red doméstica en Bellingham, Washington. Y ese es precisamente el tipo de capacidad en la que se basan los hackers de Estados-nación, como Midnight Blizzard, para que sus ataques funcionen.
A medida que los ingenieros de Comcast iban desentrañando el caso, se dieron cuenta de que estas seis direcciones IP formaban parte de una red de unas 750.000 direcciones IP ubicadas en hogares y empresas.
Los ingenieros de Comcast sabían que los dispositivos conectados a Internet eran vulnerables a los ciberataques, pero esto era algo diferente. Se trataba de una puerta trasera hacia EEUU, que operaba a escala industrial.
En septiembre, Comcast había descubierto que los usuarios de estas redes proxy residenciales podían acceder a otras redes —incluso a aquellas que contaban con cortafuegos— y luego saltar de un dispositivo a otro.
Para un usuario doméstico, eso significaba que un dispositivo de streaming de vídeo infectado podía utilizarse para piratear el teléfono móvil de otra persona. Si ese teléfono acababa conectándose a una red corporativa en la que se permitía el uso de dispositivos propios, esto podría poner en riesgo la información confidencial.
«Supuso un cambio radical respecto a cualquier amenaza que hubiéramos visto antes», afirmó Davis, de Comcast.
En enero, Google desmanteló la infraestructura de IPidea, amparándose en una orden judicial estadounidense. La red de proxies residenciales volvió a estar operativa en menos de dos semanas. Es probable que adquiriera más dispositivos de proxy residencial de un nuevo proveedor, según Comcast.
Los hackers actuales utilizan cada vez más estas redes para robar las credenciales de acceso que sus víctimas utilizan para los servicios de computación en la nube, según Adam Meyers, vicepresidente sénior de la empresa de ciberseguridad CrowdStrike. «La identidad es su pan de cada día, y uno de los elementos de infraestructura de los que dependen son los proxies residenciales», afirma.
Recientemente, Midnight Blizzard ha comenzado a utilizar redes de proxies residenciales para un nuevo tipo de ataque basado en la identidad que resulta extremadamente difícil de detectar, según Volexity, una empresa de investigación en ciberseguridad.
Durante el último año, los hackers rusos han robado credenciales de Microsoft 365 a sus víctimas mediante una técnica engañosa y extremadamente difícil de detener que consiste en reuniones falsas de Microsoft Teams, según Volexity.
Los servidores de Microsoft darían la voz de alarma si los rusos intentaran iniciar sesión en las cuentas de las víctimas desde el extranjero. En su lugar, utilizan redes de proxies residenciales para iniciar sesión desde redes domésticas de EEUU, ha explicado Steven Adair, presidente de Volexity.
Los investigadores de Volexity han observado cómo esta técnica ha afectado a organizaciones del ámbito gubernamental, militar, de asuntos exteriores e incluso a los medios de comunicación, señala Adair. «Ya no intentan suplantar tu contraseña», afirma. «Es difícil de detectar y difícil de detener».
*Contenido con licencia de The Wall Street Journal. Traducido del inglés por Clara Rojas.
Actualidad Económica. Noticias de Economía Nacional e Internacional
