Los temas relacionados con ataques cibernéticos que he tratado en la columna derivan principalmente de una que otra experiencia con equipos bajo mi custodia, casos ocurridos en otros lugares, mejores prácticas publicadas, etc.
Luego de un breve análisis sobre el tema y sobre los pasados artículos surgió la siguiente incógnita: “Si un equipo cualquiera, un servidor y/o pc no perteneciente a una empresa, es colocado en el ciber-espacio dominicano, ¿Qué tanto sería atacado?”.
Con el ánimo de despejar la duda, en el laboratorio de DO-CSIRT montamos un honeypot ofreciendo los servicios de ssh, smtp, pop3, mssql, vnc, ftp, remote desktop, RAdmin y SIP. Una vez configurado y probado, este equipo fue puesto en el Internet con un IP fijo provisto por uno de los ISP dominicanos por espacio de una semana.
Algunos de los resultados fueron:
-
Una vez puesto en marcha, el tiempo que pasó antes del primer ataque fue de 51 minutos.
-
Las direcciones IP que más atacaron provinieron de China, España, USA, India y Nueva Zelanda. Durante el tiempo de operación no se registró ningún IP proveniente de telefónicas dominicanas.
-
El promedio de ataques por día fue de 231 ataques.
-
El servicio más solicitado fue ssh.
-
La combinación más usada para intentar acceder al ssh fue root/admin.
-
Todos los intentos al servicio de mssql fueron con el usuario SA.
-
Al séptimo día el equipo sufrió un DoS que terminó apagándolo.
Debido a estos y otros resultados correlacionados, podemos decir que a nuestro país llega una gran cantidad de tráfico relacionado con escaneo de puertos y ataques de fuerza bruta. Este simple experimento deja claro la necesidad de endurecer, probar y monitorear los servicios ofrecidos a lo externo, de modo que se pueda mitigar de manera temprana cualquier condición que represente un riesgo para producción.