En casi cada hogar conectado a Internet hay un router de WiFi. Muchos de nosotros colocamos esa cajita con luces LED que parpadean en alguna esquina de nuestros hogares, donde permanece mucho tiempo sin que la toquemos y acumulando polvo.
Lo que muchas personas desconocen es que su pequeño y solitario router es el punto de entrada principal a su casa inteligente y a todos sus equipos conectados.
Todos los equipos conectados a Internet, ya sean laptops, teléfonos móviles, cámaras de seguridad o TV, se conectan a Internet y a su red local mediante un router. Toda la exposición a amenazas en el hogar proviene del router, que es esencialmente el guardián de la red doméstica. Si el router se debilita por una vulnerabilidad, los agresores pueden ingresar a la red y atacar otros equipos sensibles que estén conectados a éste.
En los últimos meses, Avast escaneó más de 4.3 millones de routers alrededor del mundo y encontró que 48% tienen alguna clase de vulnerabilidad de seguridad. La situación actual de la seguridad de los routers recuerda la situación de la seguridad que tenían las PC en la década de los años 90, en la que se descubrían vulnerabilidades simples a diario.
¿Por qué el router doméstico es el eslabón más débil?
Los routers domésticos son débiles y, por lo tanto, vulnerables, porque la mayoría de los proveedores de servicios de Internet, los fabricantes de routers y la comunidad de seguridad no han querido reconocer, analizar ni abordar sus debilidades.
Los minoristas y los proveedores de servicios de internet (ISP, por sus siglas en inglés) presionan a los fabricantes de routers para que los vendan a precios muy bajos. En México se llegan a vender en tan solo 440 pesos. Por lo tanto, la mayoría de los fabricantes compran un sistema en un chip (SOC, por sus siglas en inglés), que es el software que se ejecuta en los routers, y no invierten mucho en ajustar el SOC. Esto incluye la falta de inversión en la administración del ciclo de vida del software, es decir, en las actualizaciones que deben hacerse. Por lo anterior, se están utilizando cientos de miles, si no son millones de routers con software débil, lo cual los hace vulnerables.
Del otro lado se encuentran los proveedores de servicios de internet, que entregan a sus clientes un router que con el que están familiarizados, para poder solucionar con mayor facilidad los problemas que tengan sus clientes.
Sin embargo, cuando se trata de actualizar el firmware del router, tanto los fabricantes como los ISP no suelen brindar apoyo a sus clientes, ya que ninguno actualiza de forma automática el firmware cuando sale un parche.
Los consumidores tienen que iniciar sesión en la interfaz de administración de su router para actualizarlo, pero esto plantea un reto: la mitad de los mexicanos no sabe que su router tiene una interfaz de administración en la que pueden iniciar sesión y cambiar la configuración del mismo.
Esto podría explicar por qué más de la mitad de los routers domésticos, de acuerdo con lo que se identificó en un proyecto de investigación de Avast, utilizan contraseñas predeterminadas tales como admin/admin o admin/contraseña.
Una conclusión preocupante es que solo 1 de cada 10 mexicanos ha actualizado alguna vez el firmware de su router y solo el 6% inicia sesión en la interfaz de administración cada semana o cada mes para verificar si hay alguna actualización disponible. Muchos consumidores probablemente no saben que su router debe actualizarse. Si las Smart TV se actualizan por sí solas, ¿por qué tendrían que actualizar su router?
¿Qué está en riesgo?
Si el router está en riesgo, toda la red doméstica y todos los equipos conectados a ella también pueden estarlo. Los atacantes pueden hacer uso de los routers para cometer diversos actos maliciosos:
1. Secuestro de DNS: los atacantes deciden qué páginas pueden visitarse
El Sistema de Nombres de Dominio (DNS) es un servicio desarrollado para que los internautas no tengan que memorizar las direcciones IP que utilizan las computadoras para comunicarse entre sí en una red. Por ejemplo, es difícil para la mayoría recordar que 173.194.44.5 es google.com. Por lo tanto, cuando un usuario captura google.com en una barra de direcciones, la computadora pide a un servidor específico de DNS que traduzca el nombre a una dirección.
Generalmente, el proveedor de Internet del usuario proporciona de forma automática la dirección del servidor DNS, pero esta puede cambiarse de forma manual. Si un atacante tiene acceso al router, este puede cambiar el servidor DNS del proveedor (legítimo) por el suyo (malicioso). Si se hace tal cambio, el usuario no podrá estar seguro acerca de si la página que se abra es la correcta o no. El nombre podría direccionar a un servidor completamente diferente, que por lo general es controlado por un atacante, en el que habría establecido un sitio web falso con una apariencia idéntica al legítimo.
Si el usuario visita sitios que no son seguros en HTTPS, no notará la diferencia, pero al ingresar su información de inicio de sesión en esa página falsa, estará entregando dicha información directamente al atacante. Sin embargo, si los atacantes intentan falsificar certificados de HTTPS, los buscadores pueden alertar a los usuarios que hay algo mal.
2. Redes de bots: los routers se convierten en soldados para atacar a otros
Muchos routers tienen un tipo de acceso remoto encendido de forma predeterminada. Las formas más comunes de acceder de forma remota a un router son mediante el uso de un servidor Secure Shell (SSH, por sus siglas en inglés), un servidor Telnet o una interfaz web.
Si el usuario no cambia las contraseñas predeterminadas y permite que los servicios de acceso remoto puedan contactarse desde Internet, estas se convierten en una puerta protegida por moño, es decir, cualquiera puede abrirla. Una vez que el atacante adivinó la combinación correcta del nombre de usuario y contraseña (lo cual es muy fácil ya que las contraseñas predeterminadas están disponibles en Internet), puede instalar casi cualquier programa en el router y si el programa elegido es un bot malicioso, el router se vuelve parte de la red de bots y puede utilizarse para ejecutar ataques informáticos de denegación de servicio distribuido (DDoS, por sus siglas en inglés), enviar spam o atacar a otros routers en Internet.
3. Herramientas de monitoreo de tráfico: el más reciente artefacto de espionaje
Si un atacante puede instalar herramientas de monitoreo de tráfico, como tcpdump, en el router, este puede leer toda la comunicación cifrada que viaja a través del router.
4. Proxy: una capa que hace invisibles a los atacantes
El atacante no tiene que instalar nada. Si está disponible un SSH el atacante puede utilizarlo como un disfraz, es decir que si el atacante decide agredir a alguien en Internet, la dirección visible no será la del atacante sino la del router vulnerado.
5. Los protocolos vulnerables UPnP, Zeroconf, SSDP y Bonjour: una puerta que se deja abierta
Muchos dispositivos de Internet de las Cosas (IoT) y routers contienen protocolos, lo que les permite encontrar con más facilidad apps que los complementen. En muchos casos, estos protocolos no se implementan de forma correcta o no se actualizan de acuerdo con las normas más recientes, lo que convierte a la red en blanco fácil para los atacantes.
Por ejemplo, Universal Plug and Play (UPnP) es un protocolo que simplifica la configuración de ciertos equipos. PlayStation y Skype son ejemplos de consolas y programas que utilizan UPnP. Para que el juego sea más reactivo, los desarrolladores permiten a los usuarios alojar un juego en su consola y conectarse con otros jugadores. Para esto, es necesario tener una dirección IP pública en la consola. Debido a que normalmente el proveedor asigna una dirección IP pública al servicio de Internet que proporciona, el router es el que la tiene. Para resolver este problema, la consola puede solicitar al router que finja ser la consola mediante el UPnP, para después actuar como un intermediario transparente. Sin embargo, la implementación de UPnP en el router algunas veces está llena de fallas y puede permitir a los atacantes acceder a la red interna.
6. Contraseñas débiles: un clásico de todos los tiempos
Los routers de WiFi pueden utilizar varios tipos de métodos de cifrado, desde ningún cifrado (redes abiertas, no seguras) hasta el complejo cifrado de empresa WPA2 con servidores de autenticación. No es recomendable no utilizar ningún método de cifrado ni utilizar métodos de cifrado débil (WEP, WPA), ya que pueden quebrarse con facilidad e incluso, aunque el cifrado personal WPA2 ofrece mejor seguridad, no es muy seguro si se utiliza con contraseñas débiles.
Una contraseña de ocho dígitos puede quebrarse en unos cuantos minutos, específicamente si se hace con un ataque de fuerza bruta. La gente debe pensar dos veces acerca de la contraseña que utiliza para su red Wifi. La combinación de letras, números y caracteres especiales es muy recomendable para una mejor protección. También se recomienda crear una frase de contraseña en lugar de una contraseña. Es importante recordar que una vez que el atacante es capaz de conectar su equipo a un router, se encuentra en la misma red y puede llegar a otros equipos.
Además, si se utiliza una contraseña débil (o incluso una predeterminada) para la interfaz de administración del router, todos los dispositivos conectados al mismo, se vuelven completamente vulnerables a todo tipo de ataques perpetrados desde Internet, incluso si la interfaz de administración no está abierta a Internet. Este es un hecho relativamente poco conocido, incluso entre los expertos en seguridad.
A pesar de que, por lo general, las contraseñas débiles o predeterminadas son las que hacen posibles los ataques mencionados, las vulnerabilidades del firmware del router y las puertas traseras de los proveedores (como cuentas de soporte, contraseñas ocultas incrustadas con datos directamente en el código fuente) también pueden ser explotados por los atacantes.
Los routers domésticos son esenciales para nosotros y, debido a la enorme cantidad de amenazas que los usuarios enfrentan cuando utilizan un router vulnerable, ya es tiempo de que la industria de la seguridad, los fabricantes de routers y los ISP realicen un trabajo conjunto para atender sus debilidades. Idealmente, los fabricantes de hardware y software colaborarían para ofrecer seguridad integrada en el router.
Dicha seguridad debe supervisar el tráfico de red, detectar anomalías y actividades sospechosas en tiempo real, así como garantizar que los equipos conectados al router estén protegidos. Además de que las empresas de hardware y software se unan para brindar seguridad integrada a los consumidores, los órganos regulatorios de todo el mundo deben exigir que se registren los dispositivos IoT. Esto permitiría a los consumidores detectar las actualizaciones y, en caso de que se suspendiera el soporte, haría que el código del dispositivo estuviera abierto a los consumidores, para que puedan buscar soporte en otras opciones.
Además, las soluciones también deben ser sencillas, para que los usuarios puedan administrar cómodamente la configuración de sus routers. El hecho de que sólo pocas personas hayan iniciado sesión en la interfaz de administración de su router indica que, para muchos, es difícil manejar este paso.
Fuente: Avast
