Saltar al contenido
Noticias de tecnologia

¿Están las botnets móviles en nuestro futuro?

¿Están las botnets móviles en nuestro futuro?

Hoy, en la conferencia de ciberseguridad conocida como Black Hack, los investigadores Charlie Miller y Collin Mulliner presentarán un exploit de SMS que podría apoderarse de su iPhone con solo un texto. Una vez que el teléfono se ve comprometido, el pirata informático tendría acceso a todas las funciones del teléfono, lo que le permitirá enviar correo electrónico, acceder a sus contactos, realizar llamadas telefónicas y, por supuesto, enviar mensajes de texto que enviarían el exploit a más dispositivos.

Esta grave vulnerabilidad (que aparentemente Apple mantuvo durante más de un mes) es probablemente la primera vez que la mayoría de la gente ha oído hablar de los teléfonos móviles que se utilizan para crear redes de bots. Sin embargo, este no es el primer avistamiento de un intento de secuestro de un teléfono móvil con el propósito de crear una botnet; se descubrió un exploit similar a principios de este mes. ¿Significa esto que estamos al borde de una nueva y peligrosa tendencia? la creacion de “zombi” ¿Los telefonos?

El iPhone SMS Hack

Según Forbes, el exploit de SMS que se está demostrando hoy en Black Hat implica el envío de ráfagas de SMS breves, en su mayoría invisibles, que permitirían a un pirata informático potencial hacerse cargo del teléfono por completo. La única advertencia que tendría para alertarle sobre el hack sería un mensaje de texto que contuviera un solo carácter cuadrado. Si recibió algo así, su único recurso sería apagar el teléfono de inmediato.

Los investigadores dijeron que alertaron a Apple sobre esta vulnerabilidad hace más de un mes, pero no se ha lanzado ningún parche. Apple tampoco devuelve llamadas solicitando un comentario.

¿La primera botnet móvil?

Suponiendo que el exploit del iPhone descrito anteriormente pudo llegar a la naturaleza, podría comprometer efectivamente a todos los iPhones desprotegidos del mundo (lo que, en teoría, sería todo de ellos, si no se distribuye ningún parche). Básicamente, la piratería convertiría los teléfonos en “zombis”, un término que generalmente se usa para referirse a las PC comprometidas por una piratería, un virus o un caballo de Troya para hacer las órdenes de un pirata informático. Junto con otras PC comprometidas como ellas, este grupo de computadoras formaría una botnet de máquinas “zombis”.

Si bien las botnets son comunes en el mundo de las PC (se estima que estas máquinas se utilizan para enviar entre el cincuenta y el ochenta por ciento del spam en todo el mundo), las botnets que consisten en teléfonos móviles son prácticamente desconocidas …¿o son?

A principios de este mes, Symantec reveló una amenaza de SMS denominada “Sexy Space” creada con un malware conocido como SymbOS.Exy.C, una revisión de variantes anteriores que también se utilizan para crear amenazas similares. Utilizando tácticas sencillas de ingeniería social, este truco implica el envío de spam SMS con nombres como “Vista sexy”, “Chica sexy” y “Espacio sexy” para alentar a las víctimas a hacer clic en un enlace incluido en el mensaje de texto.

Este exploit en particular, que hasta ahora solo se encuentra en dispositivos con tecnología Symbian, es lo suficientemente inteligente como para finalizar ciertos programas en el teléfono secuestrado que permitirían terminar manualmente la amenaza. Al principio, el hack solo se veía en China, pero luego se descubrió una versión en inglés en el Medio Oriente.

Lo más aterrador de esta amenaza en particular es que está controlada por un servidor central. Eso significa que los piratas informáticos podrían controlar los teléfonos atacados de la misma manera que los piratas informáticos de hoy controlan las PC zombies. Esto llevó a los investigadores de Symantec a preguntarse si este era, de hecho, el primer caso de una botnet móvil que se detectaba en la naturaleza.

¡Pero mi teléfono nunca ha sido atacado!

Los investigadores de seguridad nos han estado advirtiendo sobre los próximos riesgos móviles durante algún tiempo y, sin embargo, parece que pocas personas han visto su teléfono comprometido por malware. Hasta la fecha, las vulnerabilidades móviles han sido escasas y no han tenido un impacto importante en la industria en su conjunto o en los niveles de confianza de los consumidores con respecto a estos dispositivos. Quizás adormecidos en una falsa sensación de seguridad dado que los teléfonos móviles fueron una vez dispositivos mucho más básicos sin acceso a Internet y planes de datos, la mayoría de las personas ni siquiera se dan cuenta de que su teléfono podría estar en riesgo de un ataque.

En un documento publicado el otoño pasado por el Centro de Seguridad de la Información de Georgia Tech, Tom Cross, un investigador del equipo X-Force de IBM Internet Security Systems fue citado diciendo lo sorprendido que estaba de que no haya habido más ataques hasta la fecha en teléfonos inteligentes. dispositivos como el iPhone de Apple. Sin embargo, señaló que “la motivación financiera y una mayor adopción aumentarán los ataques a los teléfonos inteligentes en los próximos años. A medida que se coloque más infraestructura de pago en estos dispositivos, se convertirán en un objetivo más atractivo “.

En otras palabras, todavía no vale la pena piratear los teléfonos móviles. Eso cambiará una vez que se realicen más transacciones financieras por teléfono, acordó Dave Amster, vicepresidente de investigaciones de seguridad en Equifax, en ese mismo informe. “Los consumidores están solicitando informes crediticios a sus Blackberrys, lo que pone en riesgo información valiosa”, dijo.

Aún así, piratear la plataforma móvil seguirá siendo un desafío. Según Patrick Traynor, profesor de informática en Georgia Tech y miembro de GTISC, el ciclo de vida de los teléfonos móviles es mucho más corto que el de las PC. La mayoría de la gente compra un nuevo dispositivo móvil cada dos años, un ciclo que permite a los fabricantes mantenerse al día con el diseño de seguridad y, potencialmente, adelantarse a los piratas informáticos.

Pero si hay algo que todos hemos aprendido a lo largo de los años, es que nunca debes descartar a los piratas informáticos. Si se puede ganar algo con la creación de redes de bots móviles, más allá de simplemente demostrar que es posible hacerlo, no hay duda de que los piratas informáticos intentarán crearlas.