Es bien sabido que si un atacante quisiera, podría falsificar su dirección IP mediante el uso de un servidor proxy o algún otro medio.
Aunque eso es posible, cada vez que realizo una búsqueda de ubicación geográfica en las direcciones IP que realizan ataques automáticos de fuerza bruta, sondaje, escaneo de puertos, etc. en mis servidores, casi siempre las direcciones IP se resuelven en países asociados con el ciberdelito, como:
- China
- EE. UU.
- Rusia
- Turquía
- Italia
- etc.
Sabiendo que Internet es muy independiente de la geografía, por ejemplo, es posible registrarse con servidores de servidores en cualquier parte del mundo y, de hecho, sería deseable, desde el punto de vista de los atacantes, que su IP no estuviera asociada con una País con mala reputación.
Además, como los servidores a veces se agregan a una botnet cuando están comprometidos, siempre asumí que los servidores remotos eran la "arma preferida" para los atacantes.
Sin embargo, ahora me pregunto: ¿están las personas que realizan esta actividad obligadas a utilizar ISP locales en países con leyes más laxas y que no reprimen las actividades maliciosas (supongo que no pueden acceder a todas las grandes nombre proveedores de buena reputación, porque sus cuentas se cerrarían bastante rápido)?
¿Y esto también significa que, en general, tienen que suministrar sus propias máquinas? Sé que hay muchas formas de configurar una computadora y conectarse a Internet, pero ¿cuál es la configuración típica de estos bots automáticos con respecto a si son servidores de alquiler remoto o máquinas físicas locales y cómo obtienen acceso a Internet?