routers-nueva-amenaza-lastpoke

Alerta: Medio millón de routers afectados por VPNFilter

David Seguridad Leave a Comment

Aviso: Este post está escrito con el único propósito de servir de ayuda complementaria sobre el caso que trata. En ningún momento es una guía definitiva que te pueda asegurar la protección total contra este tipo de ataques. Si deseas conocer más a fondo sobre qué debes y no debes hacer para proteger tu router recomiendo que consultes con tu ISP y hagas uso de antivirus y anti malware (como comentan y recomiendan las fuentes oficiales especializadas en este campo).

¡Primero el RGDP y ahora los routers! ¡Vaya semanita de estrés!

Según un artículo reciente de El País, el FBI ha lanzado una alerta mundial ante un hecho catalogado como «sin precedentes».

Dice así:

«El FBI ha detectado un ataque de hackers proveniente de Rusia mediante el cual se introduciría un malware que se apropiaría del router doméstico. Las autoridades estadounidenses han identificado este malware como VPNFilter, que tomaría el control de nuestro router para propagar ataques mundiales coordinados, y por descontado, registrar toda la actividad en la red de los dispositivos conectados. La gravedad de este ataque es tal, que los hackers podrían anular por completo la conexión a internet en zonas enteras y lo que resulta más preocupante, llevar a cabo ataques masivos a objetivos determinados.»

No niego que la noticia sea cierta pero que tengamos que tener en cuenta la seguridad relacionada con los routers domésticos no es algo nuevo. Vamos, que no estamos ante el descubrimiento de América, la Teoría de la Relatividad, ni el hallazgo de la Piedra de Rosetta. Esto no es algo nuevo, los ataques masivos, DDoS, malware, virus, troyanos, botnets… lleva entre nosotros desde el incio de la era de Internet.

Lo que sucede es que solemos contratar el servicio de Internet con nuestro ISP de confianza. Viene el técnico, lo instala… lo configura…  y como ya tenemos conexión a Internet nos olvidamos de todo porque somos felices entrando en Facebook y viendo vídeos en Youtube.

¡Y luego leemos noticias como esta y se nos ponen por corbata!

La verdad que todos los artículos que comentan la noticia no son nada alentadores, pero – y esta es mi opinión personal – creo que en algunos casos, los titulares pueden haberse escrito con cierto tinte amarillo con tal de vender más ejemplares o recibir más visitas en sus ediciones digitales.

Sin embargo cabe tener en cuenta qué es lo que pasaría si tu router llegase a verse infectado por el VPNFilter.

En primer lugar, ni te enterarías. Porque el objetivo de este malware no es tu PC si no tu router. Es decir que, aparentemente, todo seguiría funcionando como hasta ahora. Sin evidencias directas de que tu router haya sido infectado.

Eso no significa que no sea relativamente grave. Ya que tu equipo se convertiría en un nodo más de la botnet[*] con todo el peligro que ello conlleva.

Algunos de los routers afectados son: Linksys E1200, Linksys E2500, Linksys WRVS4400N, Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072, Netgear DGN2200, Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro, Other QNAP NAS devices running QTS software, TP-Link R600VPN.

– ¿Y que pinta el FBI en todo esto y por qué tanto bombo con el VPNFilter si dices que esto no es algo nuevo?

– Creo que la pregunta sería más bien ¿Y dónde no «pinta» el FBI?

Bueno, bromas a parte. La cierto es que el VPNfilter es la base de una de las mayores botnets (red de dispositivos infectados) descubiertas hasta la fecha. Más de 500 mil dispositivos se han visto afectados.

¿Cómo ha sucedido y quién se ha dado cuenta?

Parece que el fabricante Cisco y Symantec han sido los primeros en darse cuenta de la amenaza que según ellos está presente en 54 países alrededor del mundo.

No tardaron los chicos de negro, traje, corbata y gafas de sol (FBI) en pasar a la acción. El «bicho» lo detectaron en un router doméstico en Pittsburgh (Pensilvania). Después que el FBI analizase el código se dieron cuenta que si la víctima reiniciaba el router infectado, los plugins maliciosos desaparecían aunque el código base del VPNFilter seguía presente.

El análisis también permitió descubrir cómo se comporta el malware:

Primero comprobaba imágenes en Photobucket que ocultaban información en sus metadatos, y si no las encontraba se conectaba a un punto de control auxiliar en la URL ToKnowAll(.)com para seguir con sus planes de conquista.

Lo que permitió al FBI seguir la pista hasta dicho dominio. Consiguieron un orden judicial, tomaron el control del dominio y ‘voilà’ el FBI ya estaba en medio de la botnet. Y así consiguieron evitar gran parte de la amenaza.

Siguen trabajando en ello y parece ser que entre los fabricantes de routers afectados y el FBI no tardarán en tener controlada la amenaza. Esperomos que sea así.

Para tranquilidad de los afectados, Vikram Thakur – director ténico de Symantec – dijo:  «No hay datos que se filtren desde esos routers al dominio que ahora está controlado por la agencia».

 

VPNFilter-fbi-alerta

¿Por que os cuento todo esto?

El caso es que acabo de hablar con un amigo que estaba aterrorizado con la noticia. Y no es de extrañar. Que un malware pueda llegar a apoderarse de tu router, es como si Sauron hubiese conseguido El Anillo de Frodo.

Mi amigo me comentaba, que después de hablar con su ISP, le han recomendado realizar una serie de cambios en la configuración del router para aumentar la seguridad del dispositivo y en definitiva de su red doméstica. Además del riesgo que ello conlleva: que tu propio dispositivo (Smartphone, Tablet, Portátil o PC), con el que accedes a la red, se pueda quedar «fuera» y sin conexión.

La mayoría de usuarios, bien sea por desconocimiento o por temor, ni se plantean empezar a cambiar parámetros en la configuración de del router una vez se lo han instalado. Incluso algunos se preguntarán ¿pero eso se puede hacer?.

¡Que no cunda el pánico!

Un gran número de «ataques» lo que buscan es el usuario y password por defecto, los que el router trae de fábrica. Así que cambiando usuario (si es posible) y la contraseña de acceso al router por otra más segura, es un primer paso que aumenta la seguridad de tu red doméstica.

Eso sí, antes de realizar este paso o cualquier otro, si crees que tu router puede estar infectado, deberías hacer un «Hard Reset«. Resetear el router a los valores por defecto de fábrica – ya que el VPNFilter no es persistente si lo realizas – y acto seguido cambiar la contraseña por defecto.

El otro paso sería, si la configuración del router lo permite, cambiar el nivel de seguridad del firewall del propio router.

Otra cosa que yo haría, aunque esta conlleva algo más de conocimiento, agregar una lista de MACs de los dispositivos de confianza. Es decir, de los que tenga en mi red local. Permitiendo así, solo acceder a la red a esos dispositivos.

Y no está de más decir que si, además tenemos el firmware del router actualizado a la última versión del fabricante, estaremos poniéndoselo un poquito más difícil a los bad guys.

¿Y cómo hago todo esto?

No es difícil, pero debido a los cientos, por no decir miles, de modelos de router que circulan en el mundo, puede ser algo diferente en unos casos e incluso algo delicado.

Lo más aconsejable, y para evitar extenderme demasiado con la explicación de cientos de routers, es que llames a tu ISP y les preguntes como hacerlo. En algunos casos, sin se «enrollan» hasta podrían ayudarte a configurar algunos parámetros de forma remota.

Y si lo que deseas es una total protección… mi abuelo solía decir: «si no te quieres quemar, mejor no entres en la cocina». Así que desconecta el router, apaga el ordenador y sal a la calle a que te de el aire. Aunque se que esto no lo vas a hacer, ¿o sí?

 

Última hora: «La botnet ya ha sido controlada por el gobierno de EEUU y no supone ningún peligro, pero se recomienda tomar una serie de medidas para evitar una nueva infección similar».


[*] Botnet. Botnet es el nombre genérico que denomina a cualquier grupo de PC infectados y controlados por un atacante de forma remota. Generalmente, un hacker o un grupo de ellos crea un botnet usando un malware que infecta a una gran cantidad de máquinas. Los ordenadores son parte del botnet, llamados “bots” o “zombies”. No existe un número mínimo de equipos para crear un botnet. Los botnets pequeños pueden incluir cientos de PCs infectados, mientras que los mayores utilizan millones de equipos. La actividad principal de las botnet son ataques DDoS. Estos ataques utilizan la potencia del ordenador y el ancho de banda de cientos o miles de equipos para enviar gran cantidad de tráfico a una página web específica y sobrecargar dicho site. Existen diferentes tipos de ataques DDoS, pero el objetivo siempre es el mismo: colapsar una web. En algunos casos, entre los objetivos de las botnets, también existe la intención de recolección de datos.

Fuentes:

El artículo de El País lo puedes leer aquí.

Artículo del Instituto Nacional de Ciberseguridad de España.

Servicio AntiBotnet del Instituto Nacional de Ciberseguridad de España aquí.

Si te ha gustado, comparte

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

(*) Los datos de carácter personal que facilites mediante este formulario serán tratados por David Viciano Martín, con la finalidad de gestionar los comentarios que realizas en este blog. Al marcar la casilla de aceptación, estás dando tu consentimiento expreso para que tus datos sean tratados conforme a las finalidades de este formulario, descritas en la política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en privacidad@lastpoke.com.