La empresa de ciberseguridad The Shadowserver Foundation emitió una alerta el pasado viernes 7 de febrero sobre un preocupante ataque de fuerza bruta a gran escala que ha estado activo durante casi un mes. Este ataque utiliza diariamente hasta 2.8 millones de direcciones IP de origen en múltiples países, incluyendo a México.
Detalles del ataque
Según la información proporcionada por The Shadowserver Foundation y el portal BleepingComputer, los ciberatacantes buscan adivinar las credenciales de acceso de una amplia variedad de dispositivos de red, entre ellos:
- Palo Alto Networks: empresa de ciberseguridad.
- Ivanti: empresa de software.
- SonicWall: empresa de ciberseguridad.
La actividad maliciosa ha sido detectada desde enero de 2025 y ha afectado principalmente a países como:
- México
- Argentina
- Brasil (con más de un millón de direcciones IP involucradas)
- Rusia
- Turquía
- Marruecos
¿Cómo funciona este ataque?
El ataque de fuerza bruta se dirige a dispositivos de seguridad de borde como firewalls, VPNs y puertas de enlace, que suelen estar expuestos a Internet para facilitar el acceso remoto. Los dispositivos comprometidos son principalmente enrutadores y equipos de marcas como:
- MikroTik
- Huawei
- Cisco
- Boa
- ZTE
Estos dispositivos son a menudo controlados por grandes botnets de malware. Shadowserver indicó que la actividad ha aumentado considerablemente en las últimas semanas. Las direcciones IP atacantes están distribuidas en diversas redes, lo que sugiere la participación de una botnet o una operación relacionada con redes de proxies residenciales.
Proxies residenciales: una amenaza silenciosa
Los proxies residenciales enrutan el tráfico de Internet a través de redes residenciales, haciendo que el usuario parezca un usuario doméstico común en lugar de un bot o un hacker. Los dispositivos comprometidos podrían usarse como nodos de salida de proxy, enrutando tráfico malicioso a través de la red empresarial de una organización. Esto dificulta la detección y mitigación de los ataques.
¿Qué es un ataque de fuerza bruta y cómo protegerse?
Un ataque de fuerza bruta consiste en intentos repetidos de iniciar sesión en una cuenta o dispositivo usando diferentes combinaciones de nombres de usuario y contraseñas hasta encontrar la correcta. Una vez que los ciberatacantes obtienen acceso, pueden secuestrar el dispositivo o infiltrarse en una red.
Recomendaciones para protegerse:
- Cambiar la contraseña de administrador por una segura y única.
- Habilitar la autenticación multifactor (MFA).
- Utilizar listas de permitidos de IP confiables.
- Deshabilitar las interfaces de administración web si no son necesarias.
- Aplicar las últimas actualizaciones de firmware y seguridad.
Proteger los dispositivos de borde es crucial para prevenir vulneraciones que los actores de amenazas puedan aprovechar para obtener acceso inicial. Las recomendaciones de BleepingComputer y The Shadowserver Foundation resaltan la importancia de mantener la seguridad informática actualizada en un mundo cada vez más interconectado.
