Archivo de la etiqueta: IoT

El ataque a los routers: actuales defectos de seguridad y cómo solucionarlos

Trend Micro Senior Threat Researchers

¿Cómo es posible que los usuarios pierdan cientos de dólares en anómalas transferencias bancarias on line cuando todos sus gadgets tienen instalado software de seguridad?

El año pasado, el usuario Y, con sede en Brasil, perdió R $ 600 (US $ 191,02, a 30 de enero de 2017) como efecto secundario del robo de información. Al descubrir esto, inmediatamente llamó a un técnico de TI para encontrar la causa. El técnico originalmente explicó el incidente a Y por acceder a un sitio web falso. Pero como no se encontró ningún malware en los dispositivos conectados a la red, se revisó la configuración del router doméstico. Lo que encontró fue interesante: a pesar de que el router doméstico no exponía ninguna interfaz de administración remota a Internet, la configuración de DNS todavía se modificaba. Como solución, el técnico de TI restableció y reconfiguró el router doméstico para evitar que los cibercriminales realizasen más transferencias bancarias.

En otro caso, el usuario X notó que R $ 3.000 (US $ 955.11, a 30 de enero de 2017) fueron deducidos de su cuenta en enero de 2016. Su router doméstico también estaba infectado con un malware malicioso que cambiaba la configuración de DNS. Pero en lugar de sitios web de bancos, los ciberdelincuentes la redireccionaron a páginas falsas de sites de terceros utilizados por bancos, como Google Adsense ™ y JQuery.

Los routers a menudo tienen configuraciones no seguras que los hacen susceptibles a ataques de malware similares a los casos del mundo real que presentamos anteriormente. Por un lado, existen fallos de seguridad en el sistema operativo, el firmware y las aplicaciones web de los routers. Los atacantes pueden simplemente utilizar estas vulnerabilidades como puntos de entrada para comprometer aún más la red doméstica. De hecho, hay algunas herramientas y sitios web que los ciberdelincuentes usan para encontrar routers vulnerables y obtener exploits para sus ataques. A continuación se muestra un ejemplo de dicho sitio web:

Figura 1. Un sitio web comercial que muestra una lista de explotaciones de routers domésticos (Haga clic para ampliar)

Las credenciales predefinidas en routers facilitan que los scripts basados ​​en web eviten los mecanismos de autenticación de dispositivos y permitan a los ciberdelincuentes realizar ataques de fuerza bruta. Los scripts basados ​​en la web son una táctica eficaz para infiltrar los routers. Otra brecha de seguridad característica es la administración remota en el firmware del router que los ciberdelincuentes pueden abusar para funcionar como “puertas traseras incorporadas”. Esto podría conducir a una montón de problemas: ejecución remota de código, configuración del router modificada para redirigir a phishing o páginas maliciosas y ataques man -in-the-middle, entre otros. Los vendedores deben encontrar un punto para encontrar y eliminar estas puertas traseras en sus productos antes de que los atacantes lo hagan.

¿Los routers domésticos son seguros?

Es fácil pasar por alto la seguridad del router en un entorno doméstico, ya que en la mayoría de los casos del router doméstico hablamos de casos aislados que tienen un efecto mínimo en el ancho de banda del usuario. A menos que un usuario experimente ataques como los mencionados anteriormente, la seguridad del router es su menor preocupación. Lo que los usuarios domésticos necesitan entender es que los routers domésticos sirven como puerta de enlace dentro y fuera de su casa. Toda la información procedente de Internet tendrá que pasar a través de ella. Los routers son su propiedad privada, y cualquier forma de compromiso es como una forma de intrusión. Algunas amenazas del router que aprovechan sus comunicaciones con los dispositivos conectados pueden incluso convertir a los usuarios domésticos en cómplices involuntarios de las actividades de los ciberdelincuentes.

Por ejemplo, el botnet Mirai aprovechó los dispositivos IoT no seguros para diferentes ataques el año pasado. Cuando el código fuente se filtró en un foro de hacking, vimos nuevas cepas Mirai en estado salvaje. Las entidades afectadas como las pequeñas y medianas empresas (SMB) pueden tener que lidiar con la interrupción del negocio, la reputación dañada, o incluso la productividad y la pérdida de ganancias.

Figura 2. Principales países afectados por Mirai (Agosto 2016 – Diciembre 2016) (Haga clic para ampliar)

Mirai utiliza una lista predefinida de credenciales predeterminadas para infectar dispositivos. Sabiendo esto, es esencial que los usuarios domésticos cambien las contraseñas del router. Esta medida puede proporcionar una capa adicional de seguridad. Como mencionamos en nuestras Predicciones de Seguridad 2017, la probabilidad de amenazas similares a Mirai usadas en ataques distribuidos de denegación de servicio (DDoS) puede aumentar este año, por lo que es necesario tomar precauciones.

Aparte de los clientes botnet, otras amenazas como los rootkits que infectan específicamente Linux también pueden ser peligrosas para los routers. El fraude de Voz sobre IP (VoIP), que aprovecha el servicio de telefonía en routers, podría significar cargos adicionales en las facturas telefónicas o de Internet de un usuario.

 

¿Cómo pueden los usuarios domésticos proteger sus routers?

El primer paso en la protección de routers domésticos es elegir los más seguros. Algunos routers, como el de ASUS, ahora incluyen características de seguridad. Trend Micro recientemente se asoció con esta marca para hacer frente a los riesgos de seguridad de la red doméstica. Los routers ASUS vienen inspección profunda de paquetes y protección contra amenazas web que filtran las amenazas antes de que lleguen a los dispositivos de los usuarios.

Aparte de seleccionar un router seguro, los usuarios también deben cambiar la contraseña predeterminada del router para frustrar los ataques de fuerza bruta. La comprobación regular de la configuración de DNS también puede ayudar a usuarios y PYMES a detectar cualquier elemento sospechoso en su red. Si el router de un usuario tiene firewall, debe habilitarlo como otra forma de protección contra amenazas.

Para entender mejor las amenazas del router y aprender cómo proteger su red doméstica, lea nuestro documento de investigación Cómo proteger sus routers domésticos: ataques y estrategias de defensa.