La semana pasada salía a la luz una infección masiva de dispositivos del Internet de las Cosas. Un malware denominado VPNFilter había estado infectado durante los últimos meses a más de 500.000 equipos, la mayoría de ellos routers, pero también dispositivos de almacenamiento NAS.

Se trata de una campaña de malware que se cree que puede formar parte de un dispositivo global, con el que poder realizar ciberataques a gran escala, usando como herramienta todos estos dispositivos conectados a internet.

Estos dispositivos han pasado a formar parte de una botnet: una red de equipos conectados a ella (denominados bots), manejada por un ciberdelincuente de forma remota. En cualquier momento, puede activar esa red para ejecutar ciberataques usando la potencia de todos los dispositivos que conforman la botnet.

El análisis del malware VPNFilter ha revelado que “comparte código con algunas variantes de BlackEnergy, que fue la amenaza responsable de varios apagones en Ucrania. Esto podría dar pistas sobre la finalidad real del ataque y quién se encuentra detrás”, afirma Josep Albors, responsable de investigación y concienciación de ESET España. Ahora bien, también podría ser una maniobra de despiste, según apunta el experto, para “ocultar a los verdaderos responsables”.

Precisamente como se desconocen los responsables detrás de la infección, así como sus intenciones, la alerta que se ha creado ha sido máxima. El propio FBI ha alertado de la importancia de la amenaza, asegurando que en una acción coordinada a gran escala se podría inutilizar la conexión a internet en una ciudad.

Por el momento, las investigaciones apuntan a que el principal país afectado por VPNFilter ha sido Ucrania, y se desconoce el impacto que ha podido tener en otros países, incluido España, aunque sí se sabe que ha tenido efecto por lo menos en 54 países.

Reiniciar el router, ¿es suficiente?

El malware, según reveló Cisco tras su investigación, ha sido localizado y puesto en comunicación de los fabricantes de los dispositivos para que pusieran en marcha parches de seguridad.

Las autoridades estadounidenses han recomendado a los usuarios reiniciar sus router, lo que ha sido toda la vida apagarlo y volverlo a encender.

Las propias firmas de los dispositivos afectados por el malware (Linksys, MikroTik, NETGEAR, TP-Link y QNAP, por el momento), aconsejaron también a los propietarios que reinicien sus equipos en modo de fábrica y los actualicen con los últimos parches de seguridad cuanto antes.

Sin embargo, si el malware ya ha obtenido persistencia, esta acción no sería suficiente, según explica Albors: “lo mejor es ser proactivos e invertir unos minutos en configurar el router y los dispositivos conectados en la red”.

Cómo proteger los router de forma efectiva

“Sea cual sea el modelo de router que tengas, toma unos minutos para analizar su funcionamiento y asegúrate de verificar los puntos más importantes en su configuración“, aconseja Albors. El experto apunta como pasos clave:

  • Cambiar la contraseña del router. Muchos usuarios no cambian la contraseña que viene por defecto, y este es un fallo muy grave, que deja vulnerables los dispositivos. Es necesario cambiar tanto el usuario como la clave lo antes posible.
  • Utilizar un cifrado fuerte en la red. Debemos fijarnos en la seguridad del cifrado que usen esas redes wifi: WEP es una de las más débiles, que puede exponer los datos a “cotillas”. Es recomendable usar cifrados más seguros, como WPA2.
  • No difundir la red de forma pública. Los router cuentan con una especie de matrícula que les identifica, el SSID, que viene configurado por defecto. Es importante cambiar el que viene de fábrica, y a ser posible ocultarlo para que no sea visible públicamente.
  • Deshabilitar los servicios que no usemos. La mayoría de los router cuentan con opciones para que los dispositivos se conecten de forma más fácil a la red, como la funcionalidad WPS, que hace que se puedan conectar sin conocer la clave. Pero esto representa peligros que debemos evitar. También es conveniente deshabilitar la opción de administración remota.
  • Controlar quién puede conectarse. Muchos router permiten conocer qué equipos y cuántos están conectados a la red, es incluso limitar el número de conexiones. Es interesante realizar un listado de los dispositivos que sean de nuestra propiedad para darles permisos solamente a ellos.
  • Actualiza. Los router también cuentan con un sistema operativo propio, que debe ser actualizado para corregir vulnerabilidades, como ha sido el caso de VPNFilter. Es recomendable revisar periódicamente la web del fabricante para comprobar su hay actualizaciones o parches disponibles.

Deja un comentario