(https://i.postimg.cc/7hMvtqvq/Russia.png) (https://postimg.cc/9wMNr5Fk)
Rusia está aislando rápidamente su infraestructura conectada a Internet del mundo exterior. En menos de medio año, más de dos tercios de los servicios y dispositivos que antes se podían descubrir han desaparecido detrás del "Gran Cortafuegos".
Hoy, si escaneamos y contamos los servidores y otros dispositivos rusos de acceso público, el país parecería más pequeño que Rumanía o Suecia, estados con poblaciones entre 5 y 10 veces menores.
Antes del 15 de octubre de 2024, Rusia tenía alrededor de 920.000 dispositivos y servicios públicos de acceso a Internet. Estas direcciones IP expuestas públicamente incluyen una amplia gama de dispositivos y servicios en red, como enrutadores, servidores de correo electrónico, servidores VPN, varios paneles web, balanceadores de carga, sistemas de video y otro software o hardware conectado.
De la noche a la mañana, casi la mitad de estos dispositivos desaparecieron, según revelan los datos de IoT de ShadowServer Foundation.
La cifra se disparó brevemente por encima de los dos millones de dispositivos antes de finales de 2024 y luego volvió a caer aún más. La infraestructura de Internet rusa visible públicamente se mantiene cerca de los 270.000 dispositivos este año.
La marcada caída de todos los tipos de dispositivos y servicios expuestos a Internet en Rusia contrasta con los patrones observados en otros países, donde el número de dispositivos se mantiene relativamente estable.
A modo de comparación, en Estados Unidos se pueden descubrir públicamente casi siete millones de dispositivos. Corea del Sur y Brasil tienen 2,1 millones cada uno, seguidos de Alemania con 1,8 millones y China con 1,2 millones.
¿Por qué Rusia está reduciendo de repente de forma proactiva la visibilidad de los dispositivos y servicios conectados a Internet? Hay al menos unos cuantos factores en juego. El equipo de investigación de Cybernews sugiere que las tendencias de Rusia se deben principalmente a los esfuerzos por reforzar el control sobre su infraestructura de Internet.
¿Qué está pasando con la Internet rusa?
Rusia ha mantenido a sus ciudadanos bajo la Cortina de Hierro, restringiendo el acceso a servicios de Internet extranjeros y prohibiendo las conexiones VPN para eludir las restricciones desde hace un tiempo.
Sin embargo, recientemente ha estado probando su "Internet soberano" –una alternativa nacional a la Internet global– desconectando grandes partes del país de Internet. El pasado mes de diciembre, varias repúblicas de Rusia no pudieron acceder a sitios web y servicios extranjeros, como YouTube y Google.
Aras Nazarovas, investigador de seguridad de la información en Cybernews, sugiere que estas pruebas podrían ser una gran parte del rompecabezas.
"Rusia está experimentando con su propia infraestructura de Internet interna y desconectando varias regiones, particularmente aquellas con mayores cantidades de minorías, de la Internet mundial", dijo Nazarovas.
Según se informa, el censor federal ruso Roskomnadzor causó varias interrupciones importantes de Internet en los últimos meses. Roskomnadzor confirmó que probó si la "infraestructura de reemplazo de clave" puede funcionar cuando se desconecta deliberadamente de la Internet global.
La ciberseguridad y la ciberguerra son otras consideraciones. Debido a las sanciones occidentales, a Rusia le resulta difícil reemplazar o actualizar los equipos de red obsoletos y otros dispositivos de uso público. El hardware sin parches es un gran riesgo de ciberseguridad, que se puede aliviar eliminando el acceso a él.
"Tras la invasión rusa de Ucrania, los hacktivistas lanzaron numerosos ciberataques en respuesta que continúan hasta el día de hoy, aunque con una intensidad reducida. Los ataques a los sectores gubernamentales y bancarios podrían haber provocado cambios en el control del tráfico de Internet entrante a nivel de la red troncal, reforzando la seguridad de estos sistemas", dijo Nazarovas.
El 14 de octubre de 2024, un día antes de una disminución masiva en la cantidad de IoT, los sistemas de comunicaciones de Rusia se vieron afectados por poderosos ataques DDoS (denegación de servicio distribuida) de hasta 1,7 terabits por segundo.
Posteriormente, Roskomnadzor se jactó de haber creado un "sistema a gran escala a nivel de toda Rusia" que ayudó a repeler más de 10.500 ataques DDoS. El sistema "ofrece protección adicional a los recursos del segmento ruso de Internet".
"La disminución observada en los dispositivos IoT expuestos a Internet en Rusia probablemente se debe a consideraciones de guerra cibernética y medidas de seguridad operativa adoptadas en respuesta al conflicto en curso", dijo a Cybernews Sonu Shankar, director de productos de Phosphorus Cybersecurity.
"Si bien múltiples factores pueden estar influyendo en esta tendencia, la explicación más probable dadas las conocidas operaciones cibernéticas ofensivas en la región es la reducción deliberada de su superficie de ataque".
Shankar cree que las entidades y empresas afiliadas al estado ruso están limitando intencionalmente la exposición para proteger la infraestructura de los ciberataques. Los proveedores de servicios de Internet rusos también pueden haber implementado políticas más estrictas para evitar que ciertos servicios queden expuestos.
El Kremlin ha invertido aproximadamente 59 mil millones de rublos (alrededor de $ 648 millones) en el desarrollo de capacidades técnicas para restringir el tráfico de Internet y ha dedicado esfuerzos a obligar a los rusos a migrar de las plataformas de redes sociales occidentales a plataformas nacionales que el Kremlin puede controlar más fácilmente, dijo el Instituto para el Estudio de la Guerra en un informe. Moscú también podría querer limitar su infraestructura de los espías.
"Así como las autoridades rusas controlan el acceso a Internet dentro de Rusia, también podrían bloquear ciertas conexiones desde el exterior del país, lo que podría explicar los cambios esporádicos en el número de dispositivos conectados a Internet rastreados", dijo Nazarovas.
El cambio en las prácticas puede deberse en parte a la imposición de sanciones occidentales, ya que ciertas tecnologías y servicios basados en la nube ya no están disponibles en Rusia.
Rusia adoptó la ley de "Internet soberana" a fines de 2019. Su objetivo era proteger al país de quedar aislado de la infraestructura extranjera y de la "naturaleza agresiva" de la estrategia nacional de ciberseguridad de los Estados Unidos.
¿Qué dispositivos siguen siendo visibles?
La mayoría de los dispositivos de acceso público (25 %) en Rusia son enrutadores, seguidos de servidores de correo electrónico (20 %), VPN (6 %), paneles web y balanceadores de carga (5 % cada uno).
Para que los escáneres externos puedan detectar un enrutador, al menos un puerto debe estar abierto y responder a consultas externas. Un puerto abierto generalmente indica un servicio activo en ejecución, como un servidor web, una interfaz de cámara de seguridad, un portal de administración remota u otro. Los puertos abiertos también pueden indicar posibles configuraciones incorrectas.
Más de la mitad (55 %) de los enrutadores expuestos son producidos por MikroTik, un fabricante de equipos de red de Letonia. Keenetic es el segundo proveedor más importante (16 %), seguido de Huawei (11 %), Asus (7 %) y TP-Link (6 %).
(https://media.cybernews.com/2025/02/2-table.png)
"Mikrotik ha declarado oficialmente que ha abandonado el mercado ruso y prohíbe a sus socios externos vender equipos allí. La empresa debe cumplir con las restricciones y sanciones a la exportación de la UE. El predominio de los enrutadores MikroTik en el mercado ruso podría explicarse en parte por los débiles controles de exportación en otros países, lo que permite a los rusos importar equipos sancionados a través de canales del mercado negro", dijo Nazarovas.
Las estadísticas no revelan cuándo se fabricaron o adquirieron los enrutadores, y algunos dispositivos podrían ni siquiera transmitir claramente su tipo, modelo u otros datos.
Los datos de Shadowserver tampoco representan todos los dispositivos IoT en Rusia, solo aquellos expuestos al público.
Los servidores de correo electrónico en Rusia están dominados por Exim (94%), un software de agente de transferencia de correo gratuito.
Los paneles web expuestos se componen principalmente de la herramienta de administración de servidores Fastpanel (46%), el panel de control de servidor web HestiaCP (18%), el software de panel de control de alojamiento web cPanel (6%) y la herramienta de administración de bases de datos phpMyAdmin (6%).
La mayoría de las instancias de VPN expuestas son MikroTik (72%), seguida de Cisco (14%), OpenVPN (4%) y SoftEther (4%).
"El acceso restringido a las tecnologías occidentales definitivamente presenta nuevos desafíos para Rusia, ya que en algunos casos ya no puede recibir actualizaciones de seguridad para cierto software y, por lo tanto, necesitaría desarrollar sus propios parches o engañar a las empresas para que crean que el tráfico de Internet proviene de otro lugar mediante el uso de VPN para recibir actualizaciones de seguridad", explica Nazarovas.
Para equilibrar la carga, las entidades en Rusia utilizan principalmente Traefik Labs (58%) y Nginx (41%).
¿Debería seguir el ejemplo de Estados Unidos?
En la actualidad, Estados Unidos tiene una presencia en Internet 26 veces mayor que la de Rusia. Según los expertos en seguridad, las tendencias en Rusia hacen que el país esté más protegido frente a las amenazas en línea. Y esto sirve de ejemplo para Estados Unidos.
(https://media.cybernews.com/2025/02/3-table.png)
"Estas tendencias sirven como un recordatorio crítico para que las organizaciones en los EE. UU. prioricen la higiene de seguridad fundamental de sus dispositivos conectados. Para mitigar los riesgos, las organizaciones deben restringir la exposición innecesaria a Internet, aplicar prácticas de autenticación sólidas a nivel de dispositivo al garantizar que se cambien las contraseñas predeterminadas o débiles y eliminar las configuraciones incorrectas de los dispositivos que podrían ser explotadas de forma remota por actores de amenazas", dijo Shankar.
"Además, mantener el firmware actualizado es esencial para evitar que los atacantes exploten vulnerabilidades conocidas".
Fuente:
CyberNews
https://cybernews.com/security/russia-disappearing-from-the-internet-cyberwarfare/