La firma desarrolladora del popular antivirus Avira llevó a cabo un estudio utilizando un honeypot para tratar de identificar nuevos peligros como nuevas formas de ataque y elementos que se utilizan en esos ataques como las credenciales (nombre de usuario y contraseña).
Para los que no conocen un honeypot es un dispositivo señuelo, computadora o red configurada para atraer a los piratas informáticos. Es usado por muchos en seguridad para atraer a cibercriminales para para descubrir nuevas técnicas y objetivos preferidos para atacar.
Al crear este honeypot, Avira decidió imitar el comportamiento de los dispositivos de Internet de las cosas (IoT por sus siglas en inglés) como por ejemplo cámaras de seguridad o enrutadores. Cualquiera podía detectar este honeypot que además era vulnerable. El honeypot de Avira utilizó tres de los protocolos más comunes utilizados con dispositivos inteligentes: Telnet, Secure Shell y Android Debug Bridge.
Uno de los investigadores de Avira, el analista Hamidreza Ebtehaj, señala lo siguiente respecto al honeypot: «Permitimos que los atacantes entren con cualquier combinación de nombres de usuario y contraseñas, están permitidos en nuestro honeypot incluso con contraseñas vacías«.
En un solo día de todos los días en que realizaron el estudio, el 5 de Septiembre, el honeypot de Avira colectó datos de 14.125 atacantes.
Hasta ahora las credenciales favoritas como 12345678 o admin o p@ssw0rd, siempre estuvieron en los primeros lugares de las credenciales más utilizadas y en el estudio de Avira también, pero con la diferencia que ninguna de estas fueron la más utilizada.
Avira encontró que la credencial más utilizada tanto en nombre de usuario y contraseña fue no ingresar nada, ninguna letra, número o símbolo o sea dejar vacíos los campos de nombre de usuario y contraseña.
Hamidreza Ebtehaj señaló que «la credencial más utilizada es en blanco, lo que significa que los atacantes simplemente ingresan un nombre de usuario y contraseña vacíos», añadiendo que «esto es aún más común que el administrador».
Los ataques con espacios en blanco o vacíos en credenciales representaron un 25,6% del total de ataques, sobrepasando incluso al porcentaje de credenciales predeterminadas de dispositivos como por ejemplo «admin/QWestM0dem» y «admin/airlive » que se utilizadon en un 24.0% y también a las clásicas credenciales predeterminadas como «admin/admin» o «root/root» que fueron utilizadas en el 23,4% de las veces.