Un botnet recientemente descubierto, compuesto por 13,000 dispositivos MikroTik, está aprovechando una vulnerabilidad en los registros DNS de servidores de correo electrónico (SPF) para evadir medidas de seguridad y distribuir malware mediante la suplantación de identidad en aproximadamente 20,000 dominios web.
El problema: Registros SPF mal configurados
El ataque, identificado por la empresa de seguridad DNS Infoblox, se detectó a finales de noviembre de 2024. Los correos maliciosos enviados por los atacantes imitaban a empresas como DHL Express, engañando a los usuarios con facturas falsas que incluían un archivo ZIP adjunto. Este archivo contenía un script en JavaScript diseñado para ejecutar un script PowerShell, estableciendo comunicación con un servidor de comando y control (C2) vinculado previamente a hackers rusos.
Los atacantes se aprovecharon de registros SPF configurados con la opción “+all”, una configuración demasiado permisiva que permite a cualquier servidor enviar correos electrónicos en nombre de un dominio. Esta mala práctica anula el propósito de los registros SPF, facilitando la suplantación de identidad y el envío no autorizado de correos electrónicos.
La recomendación: Configurar registros SPF con “-all”
Para proteger los dominios, los expertos recomiendan el uso de la opción “-all” en los registros SPF. Esta configuración restringe el envío de correos electrónicos a servidores autorizados, reduciendo significativamente el riesgo de ataques por suplantación.
Operación del botnet y consecuencias
Los dispositivos MikroTik comprometidos se configuraron como proxies SOCKS4, lo que les permite realizar una amplia gama de actividades maliciosas, tales como:
- Ataques DDoS: En 2024, un botnet similar con dispositivos MikroTik fue responsable de un ataque masivo que alcanzó 840 millones de paquetes por segundo.
- Envío de correos phishing: Facilitando campañas de malspam a gran escala.
- Exfiltración de datos: Robando información sensible de redes comprometidas.
- Ocultación de tráfico malicioso: Más de 13,000 dispositivos operando como proxies amplifican la escala y el impacto de estas operaciones.
Cómo proteger tus dispositivos MikroTik
Infoblox señala que varias versiones de firmware de MikroTik, incluidas las más recientes, han sido afectadas. A pesar de los llamados a actualizar los sistemas, muchos dispositivos siguen siendo vulnerables debido a bajas tasas de implementación de parches.
Para proteger tu red y evitar que tus dispositivos MikroTik sean parte de un botnet:
- Actualiza el firmware: Descarga e instala las versiones más recientes para tu modelo.
- Cambia las credenciales predeterminadas: Usa contraseñas fuertes y únicas para el acceso administrativo.
- Restringe el acceso remoto: Desactiva el acceso remoto al panel de control si no es necesario.
Este caso subraya la importancia de gestionar correctamente las configuraciones de seguridad, tanto en registros DNS como en dispositivos de red. La prevención comienza con medidas proactivas, como mantener el software actualizado y emplear configuraciones seguras.
En un panorama digital cada vez más hostil, las empresas deben mantenerse vigilantes y comprometidas con la seguridad cibernética para proteger sus activos y la confianza de sus clientes.
