Dispositivos zombies gracias a la poca seguridad de los routers

Cualquier aparato conectado a internet es susceptible de ser atacado por algún tipo de malware sino ponemos las precauciones necesarias. Este problema es de todos conocido, pero no lo es tanto aquel en el que en vez de interferir nuestros ordenadores, tablets y móviles, lo hacen con los routers.

Este tipo de ataques no son nuevos, pero sí es verdad que con la aparición del wifi, la diversidad de operadoras y los nuevos métodos de rastreado, los routers y en especial las vulnerabilidades de su firmware se pueden ver comprometidas.

Y no hace falta ser un genio. Mismamente hace unos meses, en un evento al aire libre en el que participé, y que consistía en quedarse a dormir en una céntrica calle de la capital, coincidimos varios usuarios de dispositivos móviles. Por pasar el tiempo, nos dio por echar un ojo a las redes wifi cercanas, viendo que una de ellas tenía el nombre clásico de una red por defecto. Una búsqueda por internet nos dio una serie de contraseñas, siendo una de ellas la usada por ese cliente. De ahí, a la página de configuración del router. El usuario tenía en su haber un PC, una Wii, una PlayStation y un móvil Android. Decidimos restringir para esa noche la conexión a esa red (con vistas a que el resto de personas cerca de nosotros no pudiera usarla con otros fines y robarnos ancho de banda). Como tampoco quisimos molestar a ese usuario (seguramente ni se haya enterado todavía), permitimos que sus dispositivos usaran la red, al igual que los nuestros. Una vez por la mañana, devolvimos la configuración de los puertos a su estado por defecto.

Con esto quiero decir que entrar en una red wifi es tan sencillo como potencialmente peligroso. Podríamos haber restringido el acceso al cliente (al que estaba pagando), obligándolo a, después de dar mil vueltas con teleoperadoras, resetear el router a la configuración de fábrica (eso suponiendo que no lo achacara a un problema puntual y pasara unos días sin conexión). Peor aún, con los datos suministrados por el router, podríamos haber atacado desde dentro sus dispositivos, o usar su router como parte de una botnet con fines delictivos.

Fabio Assolini, investigador informático, demostró no hace mucho como cómo hasta 4.5 millones de routers en Brasil habían visto comprometida su seguridad durante 2011. Los atacantes rastreaban la red en busca de routers expuestos con firmware anticuado, o probando las contraseñas por defecto que traen los mismos, entrando en el sistema y cambiando sus DNS por otras controladas por ellos.

Las DNS (servidores de nombre de dominio) sirven de puente para que nosotros podamos escribir una dirección asequible (por ejemplo www.pabloyglesias.com) y acabemos llegando a la dirección IP donde está alojada la web en cuestión (del tipo 168.124.5.100:8000 por ejemplo, para IPV4). Al cambiar el archivo de DNS, podemos redirigir a un usuario que entre en su banco online a una página semejante visualmente, pero gestionada por nosotros, y al meter sus datos personales, guardarlos en una base de datos para luego obtener beneficio (ya me entendéis…).

Se trata de un tema delicado, y que depende en principio del buen hacer del fabricante, y de que nosotros mismos tomemos las medidas oportunas. Entre ellas, resaltar el cambiar siempre la contraseña de fábrica de un módem y tener actualizado el firmware.