Cuando un decodificador satura tu conexión de Internet

Venimos investigando un uso anómalo en la subida de algunos de nuestros clientes, hace un tiempo ya apuntamos de forma global a los decodificadores usados para capturar la señal satélite. Aquí os enseñamos el caudal de subida que estaban consumiendo sólo unos pocos decodificadores de esta marca conectados:

El decodificador envía datos automátiamente

Este es el patrón que se puede detectar cuando estamos enviando una serie de ataques

Gracias a la confianza y cercanía con nuestros clientes hemos pedido que nos concretasen varios vecinos qué decodificador usaban, ha dado la casualidad que varios de ellos tienen el mismo modelo, un IRIS 9200HD.

Bien, ¿cómo puede estar infectado un decodificador y para qué se puede utilizar?

Si buscáis el concepto Botnet en Internet vais a ver un montonazo de documentación, básicamente se trata de generar una red de dispositivos que se puedan utilizar en conjunto para un fin concreto, a menudo se utilizan para realizar ataques DDoS (denegación de servicio), para minar cryptomonedas, para enviar Spam, para bloquear conexiones de Internet o incluso para hacer trabajar a los equipos a máxima potencia para reducir la vida útil del aparato hasta que terminan fundidos.

Estos decodificadores de casa vienen con un Firmware Oficial LEGAL que, por supuesto, no sería moralmente aceptable que de casa vinieran infectados con malware para ser utilizados como Bot, pero claro, realmente así sólo se pueden ver canales de entrada abiertos, no los codificados.

Bien, cuando tu cuñao le pone un pendrive para cargarle un software (en realidad un firmware), que hace que por arte de magia ese cacharro esté decodificando lo que sólo debería estar decodificado bajo una suscripción de pago, lo que está haciendo tu cuñado es ponerle un software modificado, del que no existe responsable y que puede albergar todo lo que el desarrollador haya querido incluir ; puesto que directamente el desarrollador no cobra por esos desarrollos nadie le va a echar en cara que quiera conseguir algunos ingresos de utilizarte para fines parecidos al que consigues decodificando contenido de pago. Es un poco como incluirte publicidad sin que tú lo sepas.

Bueno, “tampoco es que me importe mucho que utilicen mi conexión para ellos financiarse”.

Cuidado, no es lo mismo que tengan que entrar a tu casa para comprobar si verdaderamente estas viendo contenido de pago (para el que necesitarían una orden judicial) que rastrear directamente desde qué dirección IP se están produciendo una serie de ataques o visto desde otro ejemplo: no es lo mismo que tú veas cierto contenido de un servidor, que tú tengas ese servidor de contenido, ya que normalmente las autoridades no se meten con los consumidores si no con los que proveen los servicios ilegales. Ejemplo: el cierre de webs de descargas de torrents.

Otro ejemplo, si los servidores que te entregan las claves para decodificar ese contenido de pago no estuvieran alojados normalmente en países donde no se persigue ese tipo de delincuencia, las autoridades hubieran echado el cierre a esos servidores y engrillotado a alguno que otro (aunque esto también lo hemos visto en España).

Directamente está perjudicando el funcionamiento global de tu conexión a Internet, pero además, y lo más habitual es que según dónde estén atacando, esta compañía bloquee las IPs de origen, es decir, la tuya, nosotros hemos visto que en concreto han estado atacando a OVH, estos tienen muchísimo contenido del que ves a diario, si bloquean vuestras IPs podréis detectar que ciertos servicios no funcionan… Al final siempre nos la cargamos nosotros y terminamos bloqueando nosotros esos ataques cuando detectamos que se están haciendo, pero no es lo suyo…

Así que amigos y amigas, ya veis… el tema tiene miga…

¿Cómo solucionarlo? Tendréis que buscar un firmware que no infecte vuestros aparatos y que a la vez os permita lo que vosotros queréis conseguir…