El Departamento de Justicia de EE. UU. anunció la detención del ciudadano canadiense de 23 años Jacob Butler (seudónimo Dort), de Ottawa, acusado de desarrollar y administrar el botnet de DDoS Kimwolf. Este botnet, que es una variante de AISURU, infectaba dispositivos IoT —marcos de fotos digitales y webcams— y se utilizaba para vender acceso a ellos bajo el modelo de «ciberdelincuencia como servicio» (cybercrime-as-a-service). Entre los objetivos de los ataques figuran direcciones IP de la red de información del Departamento de Defensa de EE. UU. (DoDIN), y la potencia máxima del tráfico DDoS alcanzó los 31,4 Tbit/s. Butler ha sido acusado de complicidad en el acceso no autorizado a sistemas informáticos y se enfrenta a hasta 10 años de prisión.

Mecánica del botnet y modelo de monetización

Kimwolf explotaba de forma dirigida dispositivos que tradicionalmente se consideraban protegidos frente al acceso directo desde internet gracias a los firewalls: marcos de fotos digitales y webcams. Los dispositivos infectados se incorporaban al botnet y, a continuación, los operadores vendían el acceso a ellos a otros ciberdelincuentes. Este esquema de «ciberdelincuencia como servicio» (cybercrime-as-a-service) permitía a los clientes emplear los dispositivos comprometidos para llevar a cabo ataques DDoS contra objetivos de todo el mundo.

Según el Departamento de Justicia, durante su funcionamiento Kimwolf ejecutó más de 25 000 órdenes de ataque. Antes de que se desmontara su infraestructura, los botnets AISURU/Kimwolf estuvieron vinculados a ataques DDoS récord en cuanto a volumen, que generaban tráfico basura con un pico de 31,4 Tbit/s. A modo de contexto: un volumen de tráfico de este tipo puede saturar prácticamente cualquier infraestructura desprotegida y supone una carga considerable incluso para los mayores proveedores de protección DDoS.

Entre los indicadores de compromiso asociados a la operación figura el dominio resi[.]to, a través del cual, según los documentos judiciales, se coordinaba en Discord la actividad del botnet.

Atribución y base probatoria

La vinculación de Butler con la administración de Kimwolf se estableció a partir de direcciones IP, datos de cuentas online y registros de mensajes en Discord publicados desde una cuenta asociada a resi[.]to. Conviene subrayar que las acusaciones siguen siendo acusaciones hasta que se dicte sentencia: la atribución se basa en los materiales de una causa penal que aún no ha sido examinada sobre el fondo.

La detención fue la continuación lógica de una operación llevada a cabo dos meses antes: las autoridades de EE. UU., junto con Canadá y Alemania, desmantelaron la infraestructura de mando y control (C2) vinculada a los botnets Kimwolf, AISURU, JackSkid y Mossad. Esta operación fue autorizada por un tribunal.

Desmantelamiento a gran escala de infraestructura DDoS

Paralelamente al arresto de Butler se desclasificaron las órdenes de incautación de los servicios online que daban soporte a 45 plataformas DDoS-for-hire (DDoS por encargo). Las fuerzas del orden obtuvieron así la capacidad de desmantelar estas plataformas. Según se indica, una de las plataformas desactivadas colaboraba directamente con Kimwolf.

El desmantelamiento simultáneo de 45 plataformas supone un golpe significativo para el ecosistema de servicios DDoS. Plataformas de este tipo reducen la barrera de entrada para llevar a cabo ataques: el cliente no necesita conocimientos técnicos, basta con pagar una suscripción e indicar el objetivo. La destrucción de la infraestructura junto con el arresto del operador del botnet constituye un enfoque combinado dirigido a desarticular tanto la oferta como la demanda en este segmento de la ciberdelincuencia.

Evaluación del impacto

Los ataques de Kimwolf afectaron a un amplio abanico de objetivos, pero lo más preocupante es el hecho de que se dirigieran contra direcciones IP de la red de información del Departamento de Defensa de EE. UU. Esto traslada la actividad del botnet de la categoría de ciberdelincuencia común al ámbito de las amenazas a la seguridad nacional. Los propietarios de dispositivos IoT —marcos de fotos digitales, webcams y equipos similares— se convirtieron en participantes involuntarios de los ataques, ya que sus dispositivos se utilizaron sin su conocimiento.

Una potencia de ataque de 31,4 Tbit/s es indicativa de la magnitud de la infraestructura comprometida: para generar tal volumen de tráfico se requieren decenas o cientos de miles de dispositivos comprometidos.

Recomendaciones

• A los propietarios de dispositivos IoT: revisen el firmware de marcos de fotos digitales, cámaras IP y otros dispositivos conectados. Actualícenlos a las últimas versiones, cambien las contraseñas por defecto, desactiven UPnP y el acceso directo desde internet.
• A los administradores de red: realicen una auditoría del tráfico saliente de los segmentos IoT en busca de volúmenes anómalos o conexiones a servidores C2 desconocidos. Aíslen los dispositivos IoT en VLAN independientes con acceso restringido.
• A los operadores de infraestructuras: comprueben en los registros DNS si existen conexiones al dominio resi[.]to, ya que podrían indicar la presencia de dispositivos comprometidos en la red.
• A las organizaciones que utilizan protección DDoS: asegúrense de que sus soluciones sean capaces de gestionar ataques superiores a 30 Tbit/s y pongan a prueba sus planes de respuesta ante incidentes DDoS.

La detención de Butler y el desmantelamiento simultáneo de 45 plataformas DDoS-for-hire ponen de manifiesto un cambio en la estrategia de las fuerzas del orden: en lugar de acciones puntuales, se aplica un enfoque integral que desarticula toda la cadena, desde el operador del botnet hasta los servicios finales de venta de ataques. Para los propietarios de dispositivos IoT, la acción clave en este momento es llevar a cabo un inventario del equipamiento conectado, actualizar el firmware y asegurarse de que los dispositivos no sean accesibles directamente desde internet, ya que precisamente esos dispositivos constituían la base de Kimwolf.