Un truco hacker recientemente descubierto ataca los routers hogareños y redirige a los usuarios a sitios maliciosos disfrazados con información sobre el coronavirus. El objetivo es instalar malware que robe contraseñas y credenciales encriptadas.

La información fue dada a conocer en el sitio web de la empresa de seguridad Bitdefender, donde se aseguró que los routers más golpeados son los Linksys y en menor medida los D-Link. Todavía no queda en claro cómo los hackers logran ingresas a los routers. Los especialistas sospechan que descifran las contraseñas para asegurar el control remoto del router cuando está activado. Por otro lado, Bitdefender sostiene que los routers son tomados cuando los hackers adivinan las credenciales en la nube de Linksys.

El router “cooptado” permite a los atacantes reasignar los servidores DNS que se utilizan cuando los dispositivos están conectados. Los DNS, a su vez, hacen uso del sistema de nombres de dominio de Internet para traducirlos en dirección IP. De ese modo, las computadoras pueden encontrar la ubicación de los sitios a los que los usuarios intentan acceder. Con esto, los hackers son capaces de redirigir a las personas a sitios maliciosos que intentan falsificar o adivinar contraseñas.

Bajo el domino hacker, los servidores DNS envían a los usuarios a sitios falsificados, lo que significa que se sirven de direcciones IP maliciosas, en lugar de la dirección IP legítima utilizada por el propietario del dominio. Liviu Arsene, el investigador de Bitdefender que escribió el informe asegura que los sitios falsificados cierran el puerto 443, la puerta de Internet que transmite el tráfico protegido por las protecciones de autenticación HTTPS. El cierre hace que los sitios se conecten a través de HTTP, y al hacerlo evita que se muestren advertencias de los navegadores de que un certificado TLS no es válido o no es confiable.

Entre los dominios que se han incluido como fraudulentos se encuentran:

• aws.amazon.com
• goo.gl
• bit.ly
• washington.edu
• imageshack.us
• ufl.edu
• disney.com
• cox.net
• xhamster.com
• pubads.g.doubleclick.net
• tidd.ly
• redditblog.com
• fiddler2.com
• winimage.com

Las direcciones IP que sirven para las búsquedas maliciosas de DNS son 109.234.35.230 y 94.103.82.249.

La pandemia como excusa

Los desprevenidos usuarios entran de esa manera a sitios maliciosos donde les ofrecen una aplicación que proporciona “la última información e instrucciones sobre el coronavirus (COVID-19)”.

Los usuarios que hacen clic en el botón de descarga son finalmente redirigidos a una de las varias páginas de Bitbucket, que ofrecen un archivo que instala el temido malware. Conocido como Oski, este malware relativamente nuevo extrae las credenciales del navegador, las direcciones de criptografía y posiblemente otra información sensible.

Estados Unidos, Alemania y Francia: los más afectados

Se estima que en total hubo casi 2000 descargas del malware, aunque es probable que el número sea mucho mayor. Los datos de Bitdefender muestran que los ataques comenzaron el 18 de marzo o cerca de esa fecha, y que alcanzaron su punto máximo el 23 de marzo. Los datos de Bitdefender también muestran que los routers más atacados se encontraban en Alemania, Francia y los Estados Unidos. En este momento, estos países se encuentran entre los que más sufren los efectos devastadores de COVID-19. Por supuesto que esto no es casualidad.

Para evitar ataques a los routers, los dispositivos deben tener la administración remota apagada siempre que sea posible. En caso de que esta característica sea absolutamente necesaria, debería ser usada sólo por usuarios experimentados y protegida por una contraseña fuerte. Las cuentas en la nube, que también permiten administrar de manera remota los routers, deberían seguir las mismas pautas. Además, los usuarios deberían asegurarse con frecuencia de que el firmware del router esté actualizado.

Otras formas de proteger el router de una casa u oficina pequeña son:

-Modificar la contraseña de administrador predeterminada

Jamás hay que dejar al router con la contraseña que viene de fábrica. Esta es una de las principales vulnerabilidades frente a ataques. Los hackers utilizan bots para explorar toda la web en busca de routers expuestos con contraseñas débiles. Entonces, lo primero es elegir una contraseña fuerte, y en segundo término cambiar el nombre de usuario de la cuenta predeterminada.

En el año 2017, una red de bots llamada Mirai dominó a más de 250.000 routers gracias a contraseñas débiles. Esto dio lugar a uno de los mayores ataques hackers registrados. El año pasado una red parecida a Mirai atacó a más de 100.000 routers en Argentina y países vecinos.

-Asegurar la interfaz administrativa

Muchos routers permiten a los usuarios establecer la administración remota, y hasta algunos dispositivos antiguos traen esta opción activada por defecto. Es sin dudas una muy mala idea, también si se cambia la contraseña por una más fuerte. Como se mencionó, las vulnerabilidades de los routers están centradas en su administración remota a través de Internet.

-Detener los servicios de alto riesgo

Los servicios como Telnet y SSH (Secure Shell), que proporcionan acceso a la línea de comandos de los dispositivos, nunca deben estar expuestos a Internet y también deben ser desactivados en la red local a menos que realmente se necesiten. En general, cualquier servicio que no se utilice debe ser desactivado para reducir el alcance del ataque.

A lo largo de los años, los investigadores en materia de seguridad han encontrado muchas “puertas traseras” no documentadas en routers a los que se podía acceder a través de Telnet o SSH y que proporcionaban un control total sobre esos dispositivos. Dado que no hay forma de que un usuario normal pueda determinar si esas cuentas existen o no, lo mejor es deshabilitar esos servicios.

-Asegurar la red Wi-Fi

Al configurar el Wi-Fi, lo recomendable es elegir una contraseña larga y difícil de adivinar, también conocida como clave precompartida (PSK), es decir con un mínimo de 12 caracteres alfanuméricos y símbolos especiales.

Además, es aconsejable deshabilitar la configuración Wi-Fi protegida (WPS), una función que permite conectar los dispositivos a la red mediante un PIN impreso en una etiqueta o presionando un botón físico del router.

El texto anterior expresa mis ideas y opiniones inspiradas en
Cybercriminals ramping up attacks on home routers, en https://www.gadgetsnow.com/
New Router DNS Hijacking Attacks Abuse Bitbucket to Host Infostealer, en https://labs.bitdefender.com/
Your router’s security stinks: Here’s how to fix it, en https://www.tomsguide.com/