En la actualidad, la existencia de una red de bots compuesta por decenas de miles de routers comprometidos y otros dispositivos del Internet de las cosas no es noticia. Sin embargo, ésta última ha sido catalogada como especial, ya que parece que su presencia no tiene intenciones maliciosas. 

Todo lo contrario, de hecho. Armado con un trozo de código que los investigadores llamaron Wifatch, la persona detrás de este plan tiene como objetivo asegurar los dispositivos de ser comprometidos por malware y reclutadores de bots. 

Wifatch fue visto por primera vez por investigadores de seguridad independientes en noviembre de 2014. El último análisis realizado por investigadores de Symantec revela que se puede encontrar en decenas de miles de dispositivos en todo el mundo, la mayoría se concentra en China, Brasil, México y la India. 

"Una vez que el dispositivo está infectado con Wifatch, se conecta a una red peer-to-peer que se utiliza para distribuir actualizaciones de amenazas", explicaron los investigadores."El código de Wifatch no envía ninguna carga útil utilizada para actividades maliciosas, como aquellas para llevar a cabo ataques DDoS. De hecho, todas las rutinas codificadas parecen haber sido implementadas con el fin de proteger los dispositivos comprometidos." 

Después de varios meses de seguimiento de la botnet, no surgieron indicios de que se está utilizando para fines nefastos. "Wifatch no sólo trata de evitar un mayor acceso eliminando el demonio legítimo Telnet sino que también deja un mensaje en su lugar, aconsejando a los propietarios de dispositivos que cambien las contraseñas y actualizen el firmware", dicen los investigadores. 

Uno de sus módulos también trata de eliminar las familias de malware conocidos que se enfocan en dispositivos embebidos (si encuentra uno o más de ellos en el dispositivo). 

Wifatch es capaz de infectar a los dispositivos basados --en diferentes arquitecturas: ARM, MIPS, SH4, Power PC, etc.

Hay otras cosas que indican que el bot Wifatch está en una misión para mantener a los usuarios seguros: él (o ella) no ofusca el código de Wifatch, ha incluido mensajes de depuración en el mismo, para permitir un análisis más fácil y se ha asegurado de que las puertas traseras que pone en los dispositivos acepten solamente comandos firmadas por él (o ella) para que otros atacantes no puedan secuestrar la botnet.

Por último, el código fuente alberga una cita en particular por la libertad del software de Richard Stallman: "Para cualquier agente de la NSA y el FBI que lea esto: por favor considere que la defensa de la Constitución de Estados Unidos contra todos los enemigos, extranjeros o nacionales, requiere seguir el ejemplo de Snowden."

"No hay duda de que Linux.Wifatch es una pieza de código interesante", señalan los investigadores, pero el punto es que todavía es considerado malware, ya que infecta un equipo sin el consentimiento del usuario. 

"El restablecimiento de un dispositivo infectado eliminará el malware Wifatch; sin embargo, los dispositivos pueden infectarse de nuevo con el tiempo. Si es posible, se recomienda mantener el software y el firmware de sus dispositivos al día y cambiar las contraseñas predeterminadas que aún están en uso", concluyeron.