Los ciberataques no dejan de evolucionar, y ahora estamos viendo uno a gran escala que debería preocupar a cualquiera que use una VPN. Un ataque masivo de fuerza bruta está utilizando casi 2.8 millones de direcciones IP para intentar adivinar credenciales en una amplia gama de dispositivos de red, incluidos los de Palo Alto Networks, Ivanti y SonicWall.
Para que te hagas una idea, un ataque de fuerza bruta funciona como si alguien intentara entrar a tu casa probando todas las llaves posibles hasta encontrar la correcta. En este caso, los hackers están haciendo lo mismo con dispositivos VPN, probando miles de combinaciones de usuario y contraseña hasta que logran acceso. Y cuando lo consiguen, pueden secuestrar dispositivos, infiltrarse en redes privadas, robar información sensible e incluso desplegar malware.
Lo peor es que esto no es algo puntual. Según The Shadowserver Foundation, este ataque lleva activo más de un mes, con millones de intentos de acceso diarios desde diferentes direcciones IP.
La mayoría de estos ataques (alrededor de 1.1 millones) vienen de Brasil, seguido de Turquía, Rusia, Argentina, Marruecos y México. Pero en realidad, hay actividad en muchos otros países, lo que muestra lo grande que es esta ofensiva.
Los hackers están apuntando a dispositivos de seguridad perimetral como cortafuegos, VPNs y puertas de enlace, que suelen estar expuestos a Internet para permitir el acceso remoto. Y aquí está el problema: estos mismos dispositivos, que se supone que protegen las redes, pueden convertirse en el punto de entrada perfecto si no están bien asegurados.
¿Y quiénes están ejecutando estos ataques? En su mayoría, routers y dispositivos IoT de marcas como MikroTik, Huawei, Cisco, Boa y ZTE, que suelen ser infectados y controlados por enormes redes de bots (botnets). Es decir, los ciberdelincuentes están aprovechando dispositivos previamente hackeados para seguir atacando más equipos.
Este ataque lleva tiempo en marcha, pero recientemente ha escalado de forma preocupante. Los hackers están utilizando direcciones IP de múltiples redes y sistemas, lo que sugiere que podrían estar operando a través de una botnet o usando proxies residenciales para ocultar su actividad.
Los proxies residenciales son direcciones IP legítimas asignadas a usuarios comunes por proveedores de Internet. Los ciberdelincuentes los aprovechan para disfrazar su tráfico, haciéndolo parecer el de un usuario real en lugar de un bot o un hacker. Esto les permite evadir bloqueos y restricciones, lo que los hace perfectos para ataques, scraping de datos y otras actividades sospechosas.
El problema es que los dispositivos de seguridad que están siendo atacados también pueden ser utilizados como nodos de salida en estas redes proxy. En otras palabras, las empresas afectadas podrían estar facilitando ataques sin darse cuenta. Y lo peor es que estas conexiones se ven como "confiables", ya que provienen de infraestructuras legítimas, lo que hace que sean más difíciles de detectar y bloquear.
Podría interesarte leer: Blindaje en Direcciones IP: Resistencia a Ataques de Fuerza Bruta
Estos ataques no son algo nuevo. En abril, Cisco alertó sobre una campaña masiva de fuerza bruta contra dispositivos de Cisco, CheckPoint, Fortinet, SonicWall y Ubiquiti. Y en diciembre, Citrix advirtió sobre ataques de difusión de contraseñas dirigidos a Netscaler. Si tu dispositivo está expuesto a Internet, tarde o temprano será un objetivo.