Fortinet afirma que los 3 millones de cepillos de dientes inteligentes usados en un DDoS “no fueron un caso real”… el medio que publicó la historia primero lo contradice
(tomshardware.com)- Fortinet corrigió la información de que 3 millones de cepillos de dientes inteligentes fueron usados en un ataque DDoS y dijo que no fue un caso real, sino un ejemplo de un tipo de ataque; sin embargo, el medio que publicó la historia primero, Aargauer Zeitung, respondió que Fortinet lo presentó como un caso real
- La publicación original señaló que cepillos de dientes inteligentes con un sistema operativo basado en Java fueron infectados con malware y convertidos en una botnet, que dejó fuera de servicio durante 4 horas el sitio web de una empresa suiza y causó pérdidas de varios millones de euros
- Fortinet explicó que esta historia no se basó en investigación de Fortinet ni de FortiGuard Labs, y que durante el proceso de traducción se desdibujó la frontera entre un escenario hipotético y un caso real
- Aargauer Zeitung respondió que representantes de Fortinet en Suiza no corrigieron la expresión “un hecho que realmente ocurrió” ni en reuniones ni durante la revisión del texto antes de su publicación
- Más allá de la disputa sobre su veracidad, los dispositivos IoT conectados, como cepillos de dientes, routers y cámaras de vigilancia, pueden ser objetivos de ataque o recursos para botnets, por lo que necesitan actualizaciones y monitoreo de red
La rectificación de Fortinet y la respuesta de Aargauer Zeitung
- Fortinet corrigió la información de que 3 millones de cepillos de dientes inteligentes fueron usados en un ataque DDoS por ser inexacta
- Explicó que el caso del cepillo dental fue un ejemplo usado durante una entrevista para mostrar un tipo específico de ataque
- Ese contenido no se basó en investigación de Fortinet ni de FortiGuard Labs
- Considera que durante la traducción se creó una narrativa que mezcló un escenario hipotético con un caso real
- Aargauer Zeitung no acepta la explicación de Fortinet sobre un “problema de traducción”
- Señaló que representantes de Fortinet en Suiza describieron el caso del cepillo como un ataque DDoS real durante una conversación sobre amenazas actuales
- También afirmó que Fortinet proporcionó información concreta sobre cuánto tiempo estuvo caído el sitio web de la empresa suiza y cuál fue la magnitud del daño
- Explicó que Fortinet no reveló el nombre de la empresa afectada por consideración hacia su cliente
- Respondió que el borrador fue enviado a Fortinet para revisión antes de su publicación y que no hubo objeciones a la expresión que lo presentaba como un caso real
El ataque descrito en la publicación original
- La publicación original informó que unos 3 millones de cepillos de dientes inteligentes fueron infectados por hackers e incorporados a una botnet
- Según esa versión, esta botnet ejecutó un ataque DDoS contra el sitio web de una empresa suiza, que no pudo soportar la carga y quedó fuera de servicio
- Se informó que el ataque duró 4 horas y provocó pérdidas operativas de varios millones de euros
- El texto original incluía una frase en el sentido de que “este ejemplo, que parece un guion de Hollywood, realmente ocurrió”, y el medio alemán Golem.de también lo reportó como un caso real
- Varios hablantes de alemán confirmaron que la traducción de “realmente ocurrió” era correcta
Explicación técnica e incertidumbres pendientes
- La publicación original sugirió que la botnet de cepillos comprometidos pudo haber sido vulnerable por un sistema operativo basado en Java
- No se mencionó una marca específica de cepillos inteligentes
- La función normal de conectividad de estos cepillos era rastrear y mejorar los hábitos de higiene oral de los usuarios
- Según lo reportado, tras la infección con malware los cepillos fueron incorporados por la fuerza a una botnet
- No se revelaron el nombre de la empresa suiza afectada ni los detalles específicos de los daños
Advertencia sobre seguridad IoT
- Stefan Züger, de la filial suiza de Fortinet, dijo que cualquier dispositivo conectado a internet puede ser un objetivo potencial o ser explotado en un ataque
- Además de los cepillos, en esta categoría entran routers, decodificadores, cámaras de vigilancia, timbres, monitores para bebé y lavadoras
- Los dispositivos conectados están expuestos de forma constante a la búsqueda de vulnerabilidades por parte de hackers, y sigue la competencia entre los fabricantes de software y firmware de los dispositivos y los ciberdelincuentes
- Fortinet señaló que una PC sin protección conectada a internet se infectó con malware en apenas 20 minutos
Qué deben hacer los usuarios de dispositivos conectados
- Aunque los detalles del caso sigan en disputa, los propietarios de dispositivos conectados deben mantener actualizados el dispositivo, el firmware y el software
- Deben vigilar si hay actividad sospechosa en la red
- Deben instalar y usar software de seguridad
- Deben seguir las mejores prácticas de seguridad de red
- Tom’s Hardware cambió su título original para reflejar los nuevos acontecimientos: “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages”
1 comentarios
Opiniones de Hacker News
Este artículo es extraño y le faltan muchos detalles. Según entiendo, los cepillos de dientes inteligentes grandes usan BLE y no se conectan directamente por Wi‑Fi
Intenté verificarlo, pero no pude encontrar nada. Muchos chips BLE también pueden usar Wi‑Fi, así que no descarto por completo la posibilidad de que alguien haya comprometido el firmware y activado la función Wi‑Fi, pero de entrada queda la duda de cómo se conectaron al Wi‑Fi para operar la botnet. La premisa de que los dispositivos IoT implican riesgos sigue siendo válida, pero este artículo en sí me genera bastante escepticismo
Sé que existió Java ME y que también hay micro JVM que corren en microcontroladores, pero aun así no cuadra. El ataque DDoS sí ocurrió, y pasa todo el tiempo, pero parece que en la traducción se perdieron detalles o se usó como clickbait eso de que expertos en seguridad dijeran que estos ataques pueden venir de cualquier parte, incluso de un cepillo de dientes
https://cyberplace.social/@GossiTheDog/111886558855943676
Es un artículo realmente flojo. Alguien afirma que 3 millones de cepillos de dientes inteligentes se usaron para un DDoS, pero nadie dice qué/quién/cómo lo hizo
Una afirmación tan inusual debería venir con al menos alguna evidencia. ¿No tendría que haber, como mínimo, detalles técnicos que permitieran identificarlos como cepillos de dientes?
Yo uso un viejo cepillo Philips sin Bluetooth, sin internet y sin cabezales bloqueados por el fabricante, y además se carga de forma inalámbrica en un vaso de vidrio. Me encanta
Hace poco quise comprar un segundo, pero solo encontré modelos nuevos con funciones basura que no quería. ¿Quién demonios quiere conectar su cepillo de dientes a internet? Al final encontré stock viejo en eBay. Puede sonar cruel, pero espero que el idiota que decidió meterle esas funciones al producto y el mediocre que las implementó estén teniendo hoy un mal día y reflexionen sobre la sabiduría de lo que hicieron
Desde que empecé a usar un cepillo inteligente con app en el teléfono, mi dentista notó una mejora clara en la placa detrás de mis muelas
Si la advertencia es “mantén tus dispositivos, firmware y software actualizados; vigila actividades sospechosas; instala y usa software de seguridad; y sigue las mejores prácticas de seguridad de red”, entonces casi que habría que permitir la compra de cepillos inteligentes solo a consumidores con certificación obligatoria
Yo recordaba mal estos dos como si fueran una sola historieta, pero supongo que no se puede tener todo
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i.imgur.com/YnBnsKA.jpeg
Advertencia sobre los cepillos eléctricos Philips: no se puede apagar Bluetooth aunque no uses las funciones inteligentes
También hay que tener cuidado con los purificadores de aire Philips con Wi‑Fi. Esto se debe a que no se puede desactivar la función de control remoto. Para terminar la configuración, tienes que crear un hotspot Wi‑Fi al que debes conectarte con el smartphone, y si no usas esa función, el purificador de aire crea un hotspot Wi‑Fi permanente y se queda esperando a que alguien lo explote
https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
La app del teléfono y el reloj seguían buscándose mutuamente todo el tiempo para sincronizarse, y la alternativa era usarlo sin emparejar, luego volver a emparejarlo para sincronizar, lo cual era demasiado molesto. Aun así, la duración real de la batería mejoró. Me quejé en línea al soporte de la empresa, pero ellos tampoco sabían por qué la batería era tan mala y solo me dijeron que quizá había cambiado alguna configuración y que intentara restaurar el teléfono de fábrica. Después me cambié a Polar, y el reloj que uso ahora dura 5 días con una sola carga. Un cambio enorme frente a menos de un día
Qué gran empresa. Compran a uno de los mejores fabricantes de CPAP, luego ahorran en materiales hasta llegar al punto de rendimiento decreciente del recall por cáncer, y no es como si no hubieran tenido la opción de ocultarlo todo el mayor tiempo posible
Para empezar, ¿por qué un cepillo de dientes tendría que poder tener conexión web? Entiendo lo de registrar los hábitos de cepillado, pero ¿no bastaría con una conexión local tipo LAN?
Y tampoco hay que olvidar las aspiradoras, refrigeradores, lavadoras, cafeteras y una cantidad incontable de electrodomésticos “inteligentes” que transmiten datos personales. Hasta me dan ganas de hacer una encuesta para ver cuánta gente en HN construye exactamente esta clase de tecnología, cuánta de la que lee esto, y cuánta realmente se preocupa por ello
Creo que toda tecnología pasa por un periodo de experimentación antes de que quede claro cómo debería usarse
Por eso existió Project Plowshare para las bombas, y ahora hasta los dispositivos que solo necesitan un interruptor de encendido y apagado terminan con conexión a internet. No entiendo del todo por qué haría falta un cepillo conectado, pero incluso si a veces aparece una botnet basada en cepillos, valoro muchísimo el espíritu experimental en sí
Solo con internet, ya ha habido como 40 años para “experimentar”. Ya es hora de que haya resultados, conclusiones y algún grado de producto maduro
[0] https://news.ycombinator.com/context?id=39253045
¿Cómo vendes más caro el producto X? Le pones Wi‑Fi y AI. Puedes hacer esto con casi cualquier cosa
y no hablé porque no era escritor de Onion
luego vinieron por Black Mirror
y no hablé porque no era escritor de Mirror
luego vinieron por Horselover Fat…
La locura ya está aquí. Solo que no está distribuida de manera uniforme
El “por qué” está clarísimo. Siempre habrá mercado para los datos agregados sobre el comportamiento humano
Stanislav Lem escribió “Washer Tragedy”, sobre lavadoras que se vuelven inteligentes y toman el control, y al ver estos cepillos seguramente se habría sentido orgulloso
Me da miedo la inevitable guerra de dildos por internet que llegará en 2037. Un escenario donde millones de dildos en red y refrigeradores causan un caos total en internet y provocan daños por miles de millones de dólares, mientras “los sospechosos siguen prófugos”
Creo que era sobre una filtración de grabaciones de voz hechas por la app complementaria