Una noticia difundida ampliamente según la cual 3 millones de cepillos de dientes eléctricos fueron hackeados con malware para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) es probablemente un escenario hipotético en lugar de un ataque real.
La semana pasada, el sitio suizo de noticias Aargauer Zeitung publicó una noticia en la que se afirmaba que un empleado de la empresa de ciberseguridad Fortinet había declarado que 3 millones de cepillos de dientes eléctricos habían sido infectados con malware Java para realizar ataques DDoS contra una empresa suiza.
«El cepillo de dientes eléctrico está programado con Java, y los delincuentes han instalado inadvertidamente malware en él – como en otros 3 millones de cepillos de dientes», se lee en el artículo.
«Basta una orden y los cepillos de dientes teledirigidos acceden simultáneamente al sitio web de una empresa suiza. El sitio se colapsa y queda paralizado durante cuatro horas. Se causan daños millonarios».
La historia es trágica y sin duda de interés periodístico, si es cierta, y ayer empezó a circular por otros sitios de noticias tecnológicas, con numerosas publicaciones que cubrieron el supuesto ataque sin verificar la historia.
Sin embargo, hay un problema con la historia: no hay constancia de que este ataque se haya producido.
Fortinet, a quien se atribuye la fuente del artículo, no ha publicado ninguna información sobre este ataque y no ha respondido a las repetidas peticiones de comentarios en webs, redes sociales ni ningún medio desde que la historia del «botnet del cepillo de dientes» se hizo viral ayer.
Un ataque DDoS se produce cuando un atacante envía suficientes peticiones o datos a un sitio web como para saturar sus recursos o ancho de banda de forma que ya no pueda aceptar peticiones de visitantes legítimos, inutilizando el sitio.
Este tipo de ataque ha sido cada vez más utilizado por los hacktivistas para protestar contra las actividades de un país o una empresa, o por actores de amenazas que los utilizan para extorsionar a las empresas.
Para llevar a cabo estos ataques, se piratean routers, servidores y dispositivos IoT mediante fuerza bruta o utilizando contraseñas predeterminadas, o explotando vulnerabilidades.
Una vez que se compromete un dispositivo, se instala malware para alistarlo como parte de su red de bots DDoS y utilizarlo en ataques. A continuación, estos dispositivos se utilizan colectivamente para lanzar potentes ataques contra un objetivo específico.
Según Statista, se espera que aproximadamente 17.000 millones de dispositivos IoT conectados a Internet lo estén para finales de 2024, lo que ofrece una huella masiva de dispositivos que potencialmente podrían ser reclutados en redes de bots DDoS.
Sin embargo, es dudoso que 3 millones de cepillos de dientes eléctricos estén expuestos a Internet para ser infectados con malware.
En su lugar, es probable que se trate de un escenario hipotético compartido por Fortinet con el periódico que fue malinterpretado o sacado de contexto para crear una historia que es ampliamente cuestionada por los expertos en seguridad.
Además, los cepillos eléctricos no se conectan directamente a Internet, sino que utilizan Bluetooth para conectarse a aplicaciones móviles que cargan los datos en plataformas web.
Esto significa que un hackeo masivo como éste sólo podría haberse logrado mediante un ataque a la cadena de suministro que introdujera firmware malicioso en los dispositivos.
Sin embargo, no hay constancia de que esto haya ocurrido. Si ocurriera, sería mucho más grave que un ataque DDoS.
Aunque la historia de una red de bots DDoS formada por un cepillo de dientes que derriba un sitio web es divertida (y casi con toda seguridad falsa), no deja de ser un buen recordatorio de que los actores de las amenazas podrían tener como objetivo cualquier dispositivo expuesto a Internet.
Esto incluye routers, servidores, controladores lógicos programables (PLC), impresoras y cámaras web.
Por lo tanto, es esencial que cualquier dispositivo expuesto a Internet cuente con las últimas actualizaciones de seguridad y contraseñas seguras para evitar que sean reclutados en redes de bots DDoS.
La buena noticia es que probablemente no será su cepillo de dientes, así que sígase cepillando.