P&R con Marko Zbirka, IoT Threat Researcher de Avast

P: ¿Para qué se usa Telnet?
R: Telnet es un protocolo utilizado para proporcionar acceso remoto a los dispositivos. El protocolo fue desarrollado en 1969 para proporcionar acceso remoto a los servidores. Hoy en día se encuentra en un gran número de dispositivos de IO, pero solo se utiliza en casos específicos, por ejemplo, si el usuario requiere acceso remoto y completo al sistema subyacente del dispositivo, para acceder a distancia a configuraciones avanzadas o para depurar dicho dispositivo.

P: ¿Cuáles dispositivos utilizan usualmente el protocolo Telnet?
R: Comunmente vemos que el protocolo Telnet es utilizado por routers, dispositivos de IoT tales como cámaras IP, equipos inteligentes e incluso decodificadores DVT2.

P: ¿Cómo pueden los usuarios saber si el puerto Telnet de sus dispositivos está expuesto?
R: Los usuarios pueden verificar si el puerto Telnet de sus dispositivos está expuesto utilizando funciones como el Avast Wi-Fi Inspector, incluido en todas las versiones del Avast Antivirus. El inspector Wi-Fi analiza la red, verificando los dispositivos que utilizan Telnet en busca de contraseñas vacías, por defecto o débiles, y alerta a los usuarios de éstas, para que puedan hacer un cambio para asegurar su red. También comprueba las contraseñas que se sabe han sido utilizadas por las redes de bots de malware en el pasado, incluyendo la red de bots Mirai. Los usuarios también pueden comprobar la configuración de su router, iniciando sesión en la interfaz administrativa del mismo, para ver si Telnet está habilitado en el router. Si no se está utilizando Telnet de forma activa, recomendamos deshabilitarlo completamente. Además,sugerimos a los usuarios comprobar si el reenvío de puertos y UPnP están activados y, a menos que se utilicen con conocimiento de causa, también deberían estar desactivados.

P: ¿Dónde pueden cambiar sus credenciales los usuarios de Telnet?
R: Siempre depende del dispositivo en sí, por lo que es importante que los usuarios consulten el manual del dispositivo y sigan siempre las mejores prácticas, como el cambio de las credenciales de inicio de sesión predeterminadas (nombre de usuario y contraseña) al configurar un nuevo dispositivo. Algunos dispositivos tienen credenciales Telnet separadas, mientras que en otros dispositivos se puede acceder al puerto Telnet simplemente iniciando sesión en el propio dispositivo. Los usuarios deben evitar a toda costa utilizar el mismo nombre de usuario y contraseña en varios dispositivos y cuentas. Los ciberdelincuentes a menudo intentan piratear más cuentas una vez que tienen en sus manos una violación de datos que incluye credenciales de inicio de sesión, ya que son muy conscientes de que muchos usuarios utilizan las mismas credenciales de inicio de sesión en varias cuentas y dispositivos. Según una encuesta de Avast, el 42% de argentinos de los 1098 utilizan la misma contraseña para proteger varias cuentas. Por último, los usuarios deberían siempre actualizar el firmware y el software de sus dispositivos para parchear las vulnerabilidades que podrían ser objeto de abusos por parte de los ciberdelincuentes.

P: ¿Qué puede hacer alguien con estas credenciales de inicio de sesión?
R: Una vez que un hacker logra acceder al puerto de Telnet, puede descargar e instalar malware y comenzar a abusar del dispositivo. En la mayoría de los casos, los hackers utilizan los dispositivos conectados para crear una botnet, que luego pueden utilizar para realizar ataques DDoS en sitios web populares, para el minado de criptomonedas, para escanear internet y la red en la que se encuentra el dispositivo infectado en busca de otros dispositivos para infectar y atacar. Los usuarios pueden reconocer que su dispositivo se ha convertido en parte de una red de robots si notan que su dispositivo responde más lentamente de lo habitual y si hay tráfico sospechoso que sale del dispositivo.

P: ¿Es probable que otros hackers también estén escaneando Internet, buscando dispositivos con puertos Telnet expuestos?
R: ¡Sí! Tenemos 500 honeypots desplegados en todo el mundo que fueron programados con puertos abiertos, como TCP:23 (protocolo telnet), TCP:22 (protocolo ssh), TCP:80 (protocolo http), todos los cuales se encuentran típicamente en dispositivos de IoT, por lo que parecen ser dispositivos de IoT para los atacantes. El propósito de un honeypot es detectar la actividad de los ciberdelincuentes y luego examinar sus métodos de ataque. Existen para engañar a los atacantes y hacerles creer que los dispositivos a los que se dirigen son reales y contienen datos reales. El 19 de enero de 2020 notamos que los ciberdelincuentes intentar acceder 347.476 veces al puerto Telnet de nuestros honeypots.

P: ¿Qué probabilidad cree que existe de que estos dispositivos estén utilizando una dirección IP diferente y/o credenciales de inicio de sesión diferentes?
R: No es muy probable, ya que muchos de estos dispositivos se configuran y luego simplemente son utilizados, por lo que muchos usuarios inician sesión en sus dispositivos una vez mientras los configuran, si es que lo hacen, y luego nunca más. Según una encuesta de Avast, el 43% de argentinos de los 1292 no saben que su router tiene una interfaz de administración web al que pueden conectarse para ver y cambiar la configuración de su router. En el caso de los routers, las direcciones IP cambian algunas veces cuando se reinicia el router o cuando se cambia de un proveedor de servicios de Internet (ISP) a otro. Una red es tan segura como su eslabón más débil y por esta razón es muy importante seguir las mejores prácticas de seguridad