.png)
Mirai es una botnet que fue descubierta en agosto de 2016 por el investigador de seguridad MalwareMustDie. Fue creada principalmente para infectar dispositivos IoT (Internet of Things) y convertirlos en bots que podían ser controlados remotamente. La botnet Mirai se volvió notoria por lanzar algunos de los ataques de Denegación de Servicio Distribuido (DDoS) más grandes registrados en la historia.
El 30 de septiembre de 2016, el código fuente de Mirai fue liberado en un foro de hackers, permitiendo que cualquier persona con conocimientos técnicos pudiera crear su propia versión de la botnet. Esto llevó a una proliferación de variantes de Mirai y un aumento significativo en los ataques DDoS.
Mirai causó una serie de efectos disruptivos significativos a nivel global:
Ataques DDoS Masivos: El 21 de octubre de 2016, Mirai fue responsable de un ataque DDoS masivo contra el proveedor de servicios de DNS Dyn, que causó interrupciones importantes en el acceso a sitios web populares como Twitter, Reddit, GitHub y Netflix en gran parte de la costa este de los Estados Unidos.
Interrupción de Servicios: Otros ataques notables atribuibles a Mirai incluyen el ataque a la empresa de hospedaje web francesa OVH, y un ataque contra el periodista de seguridad Brian Krebs, que derribó su sitio web por un tiempo considerable.
Comprometimiento de Dispositivos IoT: Se cree que Mirai infectó cientos de miles de dispositivos IoT, incluidos enrutadores, cámaras IP y grabadores de vídeo digital (DVR).
Pérdidas Económicas: Los ataques causaron pérdidas significativas para las empresas afectadas, ya que las interrupciones del servicio pueden llevar a la pérdida de ingresos, daño a la reputación y costosos esfuerzos de mitigación y recuperación.
Mirai se diferenciaba de otras botnets por sus métodos específicos de infección enfocados en dispositivos IoT vulnerables. Así es como funcionaba:
Escaneo y Descubrimiento: Mirai escaneaba rangos de direcciones IP de Internet en busca de dispositivos IoT que tenían puertos abiertos. Identificaba aquellos que aceptaban conexiones TELNET.
Ataque de Fuerza Bruta: Una vez localizado un dispositivo, Mirai intentaba acceder al mismo mediante un ataque de fuerza bruta. Utilizaba una lista incorporada de combinaciones de nombres de usuario y contraseñas por defecto o comunes. Esta era una táctica efectiva dado que muchos dispositivos IoT tienen configuraciones de seguridad deficientes y aún utilizaban credenciales por defecto.
Carga del Malware: Si el ingreso tenía éxito, Mirai instalaba su carga útil en el dispositivo comprometido. Este malware convertía al dispositivo en un "bot" que podía recibir comandos del servidor de control y comando (C&C) de Mirai.
Persistencia: A diferencia de otros malwares que intentan persistir en el dispositivo para reinfección posterior, Mirai no solía usar métodos de persistencia avanzados. Dependía más bien de nuevas infecciones para mantener su tamaño, presionando a los administradores a cambiar las contraseñas y mejorando sus políticas de seguridad.
Comportamiento en Red: Una vez infectado, el dispositivo continuaba escaneando la red para otros objetivos vulnerables, ayudando a escalar la botnet rápidamente.
Después de los ataques de Mirai, se recomendaron varias medidas y prácticas para mitigar el riesgo de infecciones similares:
Cambio de Contraseñas Predeterminadas: Los usuarios y administradores de dispositivos IoT deben cambiar inmediatamente las contraseñas predeterminadas por combinaciones fuertes y únicas.
Actualización de Firmware: Mantener el firmware de los dispositivos actualizado para garantizar que se apliquen parches de seguridad recientes.
Segura Configuración de Redes: Aislar los dispositivos IoT en una red separada, habilitar el cifrado y utilizar firewalls para limitar el acceso no autorizado.
Monitorización de Redes: Implementar sistemas de detección de intrusiones (IDS) y monitoreo continuo para detectar actividades sospechosas en la red.
Políticas de Seguridad: Fomentar buenas prácticas de seguridad que incluyan la educación del usuario y la implementación de políticas estrictas de contraseñas.
El impacto de Mirai subrayó las vulnerabilidades y riesgos inherentes a la seguridad de los dispositivos IoT. Su capacidad de causar interrupciones masivas con relativamente poco esfuerzo lo convierte en un caso de estudio esencial en la comprensión y mejora de la ciberseguridad .