Hablando de VPNFilter y alertas sacadas de contexto en La Nueva España

VPNFilter

Marcos Palicio, redactor en La Nueva España, me escribía el miércoles pasado para trasladarme algunas dudas respecto a la alerta que la semana anterior el FBI había lanzado sobre VPNFilter (EN), el nuevo malware de moda, que tiene como objetivo routers corporativos y domésticos, y en especial, sobre la petición por parte de las autoridades de reiniciar nuestro router como medida de seguridad.

Sobra decir, como me consta, que muchos otros profesionales del sector han estado avisando de que lo más probable es que VPNFilter no se elimine tan solo con reiniciar el módem, y que probablemente tampoco lo haga incluso reseteándolo. Sin embargo, creo que el tema va más por otros derroteros, como explicaré a continuación.

Marcos me pedía mi opinión con el fin de preparar una pieza en el periódico que han publicado estos días. Así que como viene siendo habitual, dejo por aquí las observaciones que le enviaba al respecto.

Faltaría más Marcos, y por cierto, encantado de conocerte :).

Respecto a tus dudas, decirte que en efecto VPNFilter, que es el nombre “marketiniano” con el que se ha dado a conocer esta amenaza, no deja de ser otro malware más creado para atacar dispositivos del Internet de las Cosas. En este caso, routers de varias marcas en particular (TP-Link, Qnap, Linksys, Netgear o MikroTik, que tenga constancia). Infecta el dispositivo y lo mete dentro de una botnet (una red de dispositivos de las víctimas que pueden ser controlados por los cibercriminales de forma centralizada y en remoto). Lo que en la práctica les permite a los criminales hacer todo lo que quieran hacer con estos dispositivos.

Como ya he explicado recientemente en la intranet de mecenas de la Comunidad (ES), lo habitual es utilizar botnets para alguno de los siguientes objetivos:

  • Para realizar ataques de denegación de servicio a otros servicios o compañías (bloquearte el acceso a los servicios de una organización, y causándole por tanto daños económicos).
  • Para consumir de forma automatizada y tergiversada publicidad, obteniendo beneficio económico de ello.
  • Para atacar desde ellos a otras víctimas (por ejemplo lanzando campañas de phishing o fraudes diversos sin comprometer la identidad de los dispositivos de los criminales).
  • Para realizar acciones automatizadas (como puede ser clicar en anuncios de terceros, realizar registros en páginas…).
  • Con fines puramente políticos (desestabilizar la red de un país, atacar a infraestructuras críticas,…).

¿Cuál es el objetivo real del ataque? Cualquier cosa que te diga son meras conjeturas.

La mayoría de expertos parecen señalar que el malware comparte código con otros creados por APT-28, un grupo de cibercriminales que parece tener algún tipo de “relación” con el Kremlin (ya me entiendes… G.G). Parece que el país más afectado por VPNFilter es Ucrania, lo que en un principio parecía apuntar a que la botnet tenía como objetivo atacar la infraestructura tecnológica de cobertura de la final de la Liga de Campeones, que se celebraba este año en Kiev. Ya hemos visto que no (o no les ha salido bien con todo el revuelo causado).

Otra opción es que el objetivo tiene más que ver con dañar económica o políticamente a países como Ucrania, a sabiendas de los intereses geopolíticos que tienen Rusia en toda esa zona. Que sea utilizado para ciberespionaje, como respuesta dentro de esta Ciber Guerra Fría que estamos viviendo, o que se trate únicamente de otra botnet más con fines puramente económicos que ha acaparado el interés mediático, solo el tiempo lo dirá.

El tema que si me parece interesante es el comunicado que menciones del FBI, en el que invitaban a todos los usuarios de estos routers a que reinicien el dispositivo (EN).

Sinceramente, es pecar de ingenuo si se espera que tan solo con reiniciarlo vamos a eliminar el malware. Lo más probable es que VPNFilter sea “persistente”, es decir, que es capaz de volver a activarse incluso cuando el dispositivo se resetea a su estado de fábrica. Y aunque en efecto no fuera capaz, lo único que conseguiríamos es eliminar la amenaza de forma temporal, hasta que el router volviese a ser infectado.

¿Por dónde pueden ir los tiros? Todo apunta a que el FBI ya tiene acceso a la botnet (EN). Y si esto es verdad, ese reinicio les vendría genial para saber el impacto real de la amenaza, ya que forzaría al dispositivo a volver a hacer “ping” al centro de control, enumerando así a las víctimas. Se hace un llamamiento oficial, la gente como corderitos reinician el dispositivo pensando que están solucionando el problema, y todos felices :).

Respecto a las medidas que tenemos realmente para protegernos de este tipo de ataque, ya te digo que son las mismas de siempre:

  • Dispositivos actualizados: Y eso compete a nuestros ordenadores y smartphones, pero también a todos los dispositivos tecnológicos conectados, sea directa o indirectamente, a Internet. Es decir, routers, por supuesto, pero también televisores, pulseras cuantificadoras, altavoces…
  • Parametrización mínima: En su día publiqué un artículo sobre seguridad en routers, en el que explicaba que como mínimo deberíamos cambiar la contraseña y controlar los dispositivos que se conectan a la red. Lo bueno es que los routers domésticos cuentan con una interfaz hecha para usuarios sin conocimientos, que lo hacemos una sola vez (cinco minutos nos va a llevar) y nos podemos “olvidar” para siempre.

Ahora bien, decirlo es fácil. En la práctica, y por estrategias de negocio, no siempre es posible actualizar el dispositivo a la última versión. O lo mismo la última versión disponible para nuestro dispositivo no cubre los fallos de seguridad encontrados últimamente. Y el mejor ejemplo lo encontramos en los dispositivos Android, que cuentan con actualizaciones de seguridad mensuales que le llegan al… ¿3% de dispositivos en el mercado? ¿Y cuántos de esos actualizan?

No todo es culpa del usuario, vaya. Aquí es donde tiene que entrar la industria, comprometiéndose a mantener actualizados los dispositivos en todo su ciclo de vida. Una situación que cada vez va a mejor, ojo, pero que es aún insuficiente para cubrir los riesgos a los que nos estamos enfrentando, como queda patente.