Una empresa estadounidense de telecomunicaciones advirtió que una botnet -como se denomina a una red de equipos infectados- llamada «TheMoon» se comercializa como un servicio para terceros, con distintos fines delictivos, desde ataques para robar contraseñas hasta campañas masivas de spam.
Se trata de «una botnet modular que apunta a las vulnerabilidades de los routers dentro de las redes de banda ancha», describió un informe de CenturyLink, la tercera proveedora de Internet en los Estados Unidos, y fuentes de la empresa señalaron a la agencia Télam que «casi con seguridad» esta red tiene equipos infectados en la Argentina.
Las botnets son redes de equipos -routers, webcams u otro tipo de dispositivos conectados a Internet- que, previamente infectados, sirven como «ejércitos» de robots que suelen ejecutarse de manera autónoma o a pedido de quien las controla (de forma remota).
En su reporte, CenturyLink denunció la existencia de un módulo diseñado para permitir que TheMoon «fuera aprovechada por otros actores maliciosos, como un servicio».
«Es un negocio», afirmó Pablo Dubois, gerente regional de Productos de Data Center y Seguridad para CenturyLink en América Latina, en referencia a que esta red de equipos infectados se alquila para cometer ciberataques variados.
«Esta botnet en particular se usa para ofuscar IPs» (o sea, para ocultar la dirección desde la que se accede a un sitio web), describió en diálogo con Télam.
«Se la usa también para hacer ataques de fuerza bruta, que sirven para obtener contraseñas, y para publicidad fraudulenta. Por ejemplo, para mandar masivamente spam desde un solo servidor pero como si fuera desde distintos IPs», continuó.
TheMoon, precisa el informe, afecta a dispositivos MIPS, una arquitectura común de microprocesador que por lo general se encuentra en los gateways y módems residenciales.
«Afecta a una gran variedad de equipos y routers de clientes, y en la lista hay muchas marcas que son usadas por proveedores locales. Casi con seguridad debe haber equipos afectados en el país», señaló Dubois, y recordó que más allá de la localización de estos equipos, «el ataque queda disponible para todo el mundo».