Las amenazas ocultas del malware en los routers
Todas las semanas revisas tu computadora en busca de virus, actualizas los sistemas y programas en cuanto sale una nueva versión, usas contraseñas seguras y, en general, tienes cuidado con tu actividad online… pero, por alguna razón, tu conexión a Internet está lenta y algunas páginas web te deniegan el acceso. Podría ser malware, pero […]
Todas las semanas revisas tu computadora en busca de virus, actualizas los sistemas y programas en cuanto sale una nueva versión, usas contraseñas seguras y, en general, tienes cuidado con tu actividad online… pero, por alguna razón, tu conexión a Internet está lenta y algunas páginas web te deniegan el acceso. Podría ser malware, pero no en tu computadora, sino en el router.
¿Por qué los routers?
Los cibercriminales dirigen sus ataques hacia los routers principalmente por dos razones: la primera es porque todo el tráfico de la red pasa por estos dispositivos; y la segunda, es que no se puede escanear un router mediante un antivirus normal. Por lo tanto, el malware que se haya instalado en el router tiene muchas oportunidades de atacar y muchas menos posibilidades de ser detectado y mucho menos eliminado. Ahora hablemos de qué podrían hacer los cibercriminales con un router infectado.
Crear una botnet
Uno de los casos más comunes es cuando un router infectado se une a una botnet; es decir, una red de dispositivos que envían innumerables solicitudes a una página web o servicio online en particular como parte de un ataque DDoS. El objetivo de los atacantes es sobrecargar el servicio objetivo hasta el punto de que se ralentice y finalmente falle.
Mientras tanto, los usuarios comunes con routers secuestrados padecen velocidades de Internet más lentas porque sus routers están ocupados enviando solicitudes maliciosas y solo dirigen otro tráfico cuando hacen una pausa para respirar.
Según nuestros datos, en 2021 los routers fueron atacados más activamente por dos familias de malware: Mirai y Mēris. La primera se colocó como líder con una gran ventaja con respecto a la segunda, encargándose de casi la mitad del total de ataques realizados a los routers.
Mirai
Esta famosa familia de malware con un dulce nombre, que significa “futuro” en japonés, es conocida desde 2016. Además de infectar a los routers, se sabe que también infecta a las cámaras IP, los televisores inteligentes y otros dispositivos IdC entre los que se incluyen los dispositivos corporativos como controladores inalámbricos y las pantallas publicitarias digitales. La botnet de Mirai fue concebida inicialmente para llevar a cabo ataques DDoS a gran escala en los servidores de Minecraft, pero más tarde se desplegó en otros servicios. El código fuente del malware se filtró online hace tiempo y es la base de las nuevas variantes que siguen surgiendo.
Meris
Mēris significa “plaga” en letón, un nombre muy acertado, ya que afectó a miles de dispositivos de alto rendimiento, en su mayoría routers MikroTik, y los conectó a una red para ataques DDoS. Por ejemplo, durante un ataque a una empresa financiera estadounidense en 2021, la cantidad de solicitudes de la red de dispositivos infectados con Mēris alcanzó los 17.2 millones por segundo. Unos meses más tarde, la botnet atacó a varias empresas financieras y de TI rusas, con un récord de 21.8 millones de solicitudes por segundo.
Robo de datos
Algunos programas maliciosos que infectan el router pueden causar daños aún más graves, como el robo de tus datos. Cuando estás conectado, recibes y envías mucha información importante: datos de pago en tiendas online, credenciales en redes sociales, documentos de trabajo por correo electrónico, etc. Toda esta información, junto con el resto del tráfico de tu red, pasa inevitablemente a través del router. Durante un ataque, los datos pueden ser interceptados por malware y caer directamente en las manos de los cibercriminales.
Una de esas piezas de malware que roban datos es VPNFilter. Al infectar routers y servidores NAS, obtiene el poder de recopilar información y controlar o desactivar el router.
Páginas web falsas
El malware alojado en el router puede redirigirte discretamente a páginas con anuncios o sitios maliciosos que no son los que deseas visitar, y tú (e incluso tu navegador) pensarás que estás accediendo a una página web legítima, cuando en realidad estás en manos de los cibercriminales.
Funciona así: cuando introduces en la barra de direcciones la URL de una web (por ejemplo, google.com), tu computadora o tu smartphone envía una solicitud a un servidor DNS especial, donde se almacenan todas las direcciones IP registradas y sus correspondientes URL. Si el router está infectado, en lugar de a un servidor DNS legítimo, puede enviar solicitudes a uno falso que responde a la consulta “google.com” con la dirección IP de una web completamente diferente, una que podría ser un sitio de phishing.
El troyano Switcher hacía precisamente eso: infiltrarse en la configuración del router y definir un servidor DNS malicioso como predeterminado. Evidentemente, todos los datos introducidos en las páginas falsas se filtraron a los atacantes.
¿Cómo se introduce el malware en los routers?
Hay dos formas principales de introducir malware en un router: adivinando la contraseña de administrador o explotando una vulnerabilidad en el dispositivo.
Adivinar la contraseña
Todos los routers del mismo modelo suelen tener la misma contraseña de administrador en la configuración de fábrica. La contraseña de administrador sirve para entrar al menú de configuración del router, no debe confundirse con la clave de seguridad de la red (la secuencia de caracteres que se introduce para conectarse a la wifi). Si el usuario, sin darse cuenta, dejó la configuración de fábrica y no hizo ningún cambio, los atacantes pueden adivinar fácilmente la contraseña e infectar el router, especialmente si conocen la marca de este.
Sin embargo, últimamente los fabricantes comenzaron a tomarse la seguridad más en serio y asignan contraseñas únicas aleatorias a cada dispositivo en particular, lo que hace que este método sea menos efectivo para los atacantes. Pero adivinar la combinación correcta de los modelos más antiguos sigue siendo pan comido.
Explotación de vulnerabilidades
Las vulnerabilidades de los routers son agujeros en su puerta de enlace a Internet a través de los cuales pueden entrar todo tipo de amenazas directamente a tu red doméstica o corporativa o simplemente quedarse en el router, donde es menos probable que las detectes. La botnet Mēris mencionada anteriormente hace exactamente eso, explotar las vulnerabilidades no parcheadas en los routers MikroTik.
Según nuestra investigación, tan solo en los dos últimos años se han descubierto cientos de nuevas vulnerabilidades en los routers. Para proteger los puntos débiles, los proveedores de routers lanzan parches y nuevas versiones de firmware (básicamente, actualizaciones del sistema operativo de los routers). Por desgracia, muchos usuarios no son conscientes de la necesidad de actualizar el software del router, como ocurre con otros programas.
¿Cómo proteger tu red?
Si quieres proteger tu router doméstico o corporativo y mantener a salvo tus datos, te recomendamos que:
- Consultes, al menos una vez al mes, la página web del fabricante para obtener las últimas actualizaciones del firmware del router y las instales en cuanto estén disponibles. En algunos modelos, los parches se instalan automáticamente, pero en otros casos hay que instalarlos manualmente. Los pasos para actualizar el software de tu dispositivo también se pueden encontrar en la web del proveedor.
- Crees una contraseña de administrador larga y segura para tu router. Y para no olvidar esta combinación, utiliza un gestor de contraseñas.
- Si sabes cómo hacerlo o encuentras las instrucciones para llevarlo a cabo (en la web del mismo proveedor, por ejemplo) deshabilites el acceso remoto a la configuración de administración del router.
- Configures correctamente la wifi: piensa en una contraseña única, usa un fuerte estándar de cifrado inalámbrico y configura redes de invitados para que tus vecinos o visitantes con malas intenciones o poco cautelosos no propaguen malware en tu red desde sus dispositivos infectados.
- Utiliza una aplicación VPN que cifre toda la información externa antes de pasarla al router, manteniéndolo a salvo de los cibercriminales incluso aunque hayan infectado el dispositivo.
Artículo redactado por los especialistas de Kasperki que nos ayudan a mantener la seguridad informática de la Unión Argentina.