Filtradas 500.000 contraseñas de routers, servidores y dispositivos de Internet de las Cosas

Un hacker ha publicado una lista con más de medio millón de credenciales de Telnet de servidores, routers domésticos y aparatos de Internet de las Cosas. Según Zdnet, en total se han filtrado online 515.000 contraseñas, que aparecieron en un foro de hackers la semana pasada. Entre los datos filtrados para cada dispositivo están su nombre de usuario y contraseña para el protocolo de acceso remoto Telnet, así como su dirección IP.

La lista, según ha manifestado el hacker que la publicó, se ha realizado a partir de un escaneado en Internet de dispositivos que tienen accesible su puerto Telnet, lo que permite a quien conozca los datos de acceso al dispositivo mediante Telnet la posibilidad de controlarlo de manera remota. Para dar con las credenciales, el hacker empleó dos sistemas: probar con los nombres de usuario y contraseñas por defecto y utilizar contraseñas personalizadas, pero fáciles de adivinar.

Esto ha dado como resultado esta enorme lista, una de las denominadas botlists, que son un elemento de uso frecuente en las operaciones de ataque con redes de dispositivos de Internet de las Cosas. Con los datos de dispositivos de estas listas pueden acceder a varios cientos de miles, controlarlos y utilizarlos para lanzar ataques DDoS coordinados. Generalmente son privadas, y de hecho esta la ha publicado un operador de servicios de ataque de denegación de servicio.

Eso sí, los datos publicados se recopilaron en los meses de septiembre y octubre del año pasado. Desde entonces, es probable que algunos de estos dispositivos estén funcionando con una dirección IP distinta, o que empleen credenciales de conexión diferentes, aunque se desconoce cuántos.

En Zdnet han utilizado buscadores para identificar y localizar los dispositivos cuyos datos de acceso están en la lista. Están repartidos por todo el mundo, y algunos forman parte de las redes de proveedores de servicios de Internet. Otros se han localizado hasta en redes de proveedores de servicios cloud.

Además, han compartido la lista de credenciales con investigadores de seguridad de probada reputación, que se han ofrecido voluntarios para contactar con los proveedores de conexión y servicios afectados, así como de notificar a los propietarios de servidores cuyas credenciales de acceso han quedado al descubierto.