Cómo los atacantes utilizan redes domésticas para evadir detección
🏠 ¿Qué son los poderes notariales residenciales?
Un proxy es una aplicación o servidor intermediario que se interpone entre tu dispositivo, como un ordenador personal, un teléfono móvil o un router doméstico, e Internet. Un ejemplo común es una red privada virtual (VPN), que proporciona seguridad adicional al navegar ocultando tu dirección IP real. Cuando los sitios web comprueban las direcciones IP entrantes, las solicitudes desde tu ordenador parecen provenir de una dirección IP en otra ciudad, estado o país.
Los proxys residenciales utilizan tu ordenador como intermediario. Estos proxies suelen instalarse sin tu permiso. En cambio, se descargan e instalan mediante archivos o adjuntos infectados. Cuando un atacante envía una solicitud a través del proxy, tu ordenador la recibe y la reenvía al destino. El destino ve la solicitud como proveniente de tu dirección IP y la procesa.
La respuesta se envía de vuelta a su ordenador, que la reenvía al usuario no autorizado.
En muchos casos, los usuarios autorizados no se dan cuenta de que su ordenador ha sido comprometido.
Las redes proxy residenciales están compuestas por cientos o miles de direcciones IP residenciales. Por lo general, son administradas por proveedores o empresas de alojamiento web que no preguntan cómo sus clientes utilizan estas IP ni por qué necesitan acceso residencial.
El valor de estas direcciones IP residenciales reside en su autenticidad, algo que la infraestructura de proxy tradicional no puede replicar fácilmente.
Consideremos dos llamadas telefónicas. Una es de un amigo de confianza que te dice que consiguió una gran oferta en un producto que ambos buscaban y dónde encontrarlo en línea. La otra es de una empresa con la que ya has tenido contacto, ofreciéndote la misma información. Si bien el contenido es el mismo, la fuente es diferente. Es más probable que confíes en alguien que conoces que en alguien que no conoces.
Las direcciones IP residenciales ofrecen el mismo tipo de confianza a las organizaciones. Si solicitan información (aparentemente) a usuarios residenciales, estos tienden a confiar en ellas.
¿Cómo facilitan el ciberdelito?
Los ciberdelincuentes no quieren que las fuerzas del orden rastreen su ubicación ni se infiltren en su red. Por ello, suelen ocultar su actividad utilizando direcciones IP generadas comercialmente. Sin embargo, los avances en seguridad informática permiten que los sistemas de detección de fraude utilizados por sitios web financieros, de comercio electrónico y gubernamentales detecten y bloqueen estas direcciones IP.
Los proxys residenciales permiten a los ciberdelincuentes secuestrar direcciones IP de usuarios legítimos y evadir la detección de las herramientas de seguridad. Esto se debe a que muchos sistemas clasifican las direcciones residenciales como de bajo riesgo. Si los sistemas de seguridad pueden verificar que las direcciones IP son legítimas y están vinculadas a un proveedor de servicios de internet residencial en una ubicación específica, es mucho menos probable que las marquen como de alto riesgo.
Si bien existen casos de uso legítimos para las redes de proxy residenciales, como el anonimato en línea para una mayor protección individual o la monitorización SEO en múltiples ubicaciones para empresas, estas redes suelen estar gestionadas por empresas que no se preguntan qué hacen los usuarios ni por qué.
Esto ofrece múltiples oportunidades para los actores malintencionados, entre ellas:
- Infracciones de derechos de autor
- Fraude publicitario y fraude de clics
- Eludir los sistemas antifraude
- Ataques de pulverización de contraseñas y credenciales
- Difundir desinformación en las redes sociales
Google contra IPIDEA: perturbando las operaciones de proxy residenciales
Una de las mayores redes de proxy residenciales del mundo era IPIDEA. Operada por una empresa con sede en China, esta red secuestró millones de dispositivos de usuarios finales sin su consentimiento. Entre estos dispositivos se incluían ordenadores, teléfonos inteligentes y televisores inteligentes. Mediante kits de desarrollo de software (SDK), IPIDEA pudo instalar su programa proxy en dichos dispositivos.
En algunos casos, la empresa pagaba a los desarrolladores para que incluyeran estos SDK en sus aplicaciones, lo que a su vez infectaba los dispositivos. IPIDEA también ofrecía VPN "gratuitas" que instalaban el software proxy al usarse e integraban sus SDK en aplicaciones y juegos gratuitos. Si bien IPIDEA y redes similares suelen afirmar públicamente que sus proxies residenciales se obtienen de forma legítima y con consentimiento, el análisis de los SDK de IPIDEA demostró que estaban diseñados para integrarse en otras aplicaciones sin ningún mecanismo de consentimiento.
Para ayudar a reducir el riesgo de ataques de proxy residenciales e impedir las operaciones de IPIDEA, el Grupo de Inteligencia de Amenazas de Google (GTIG) llevó a cabo tres acciones:
- Se desactivaron los dominios utilizados para controlar dispositivos y tráfico proxy.
- Compartir información sobre los kits de desarrollo de software IPIDEA y las herramientas de software proxy con las fuerzas del orden y las empresas de investigación para mejorar la concienciación y la aplicación de la ley.
- Se garantizó que Google Play Protect para dispositivos Android advirtiera automáticamente a los usuarios sobre las aplicaciones IPIDEA, eliminara estas aplicaciones si estaban instaladas y bloqueara cualquier intento de instalación futuro.
Según Google, estos esfuerzos conjuntos han provocado una degradación significativa de la red proxy y las operaciones comerciales de IPIDEA, reduciendo en millones el número de dispositivos disponibles para los operadores de proxy. Si bien esto no elimina la amenaza que representan IPIDEA y redes proxy similares, las acciones de Google han dificultado que los ciberdelincuentes instalen y operen servidores proxy sin el consentimiento del usuario.
Cómo protegerse de los testaferros residenciales
Si tu dispositivo se ve comprometido por un proxy residencial que luego es utilizado por un atacante malintencionado, podrías verte involucrado en investigaciones policiales o de fraude. Además, estos proxies pueden contener malware y otras cargas maliciosas que afecten el funcionamiento de tu dispositivo.
Para protegerse se recomienda:
- Evitar los servicios de transmisión de TV que afirman ofrecer contenido gratuito, como películas o deportes.
- Hay que tener precaución al usar cualquier servicio VPN, especialmente los gratuitos.
- Utilizar únicamente tiendas de aplicaciones de confianza y aplicaciones de editores reconocidos.
- Asegurarse de que todos los sistemas operativos, aplicaciones y herramientas de seguridad estén actualizados.
Barracuda CloudGen Firewall
Barracuda CloudGen Firewall Mantenga su comunicación segura y libre de manipulaciones. Los datos se almacenan en un repositorio dedicado fuera de su entorno operativo, garantizando conservación a largo plazo sin riesgos de corrupción o eliminación accidental. Ofrece un conjunto completo de tecnologías de firewall de última generación para garantizar la protección de la red en tiempo real contra amenazas avanzadas.
