Las amenazas secretas del malware en los routers

El malware puede infectar tu router, ralentizar tu conexión a Internet y robarte los datos. Te explicamos cómo proteger tu red wifi.

Todas las semanas revisas tu ordenador en busca de virus, actualizas los sistemas y programas en cuanto sale una nueva versión, usas contraseñas seguras y, en general, llevas cuidado en tu actividad online… pero, por alguna razón, tu conexión a Internet va lenta y algunas páginas web te deniegan el acceso. Podría ser malware, pero no en tu ordenador, sino en el router.

¿Por qué los routers?

Los ciberdelincuentes dirigen sus ataques hacia los routers principalmente por dos razones: La primera es porque todo el tráfico de la red pasa por estos dispositivos; y la segunda, es que no se puede escanear un router mediante un antivirus normal. Por lo tanto, el malware que se haya instalado en el router tiene muchas oportunidades de atacar y muchas menos posibilidades de ser detectado y mucho menos eliminado. Ahora hablemos de qué podrían hacer los ciberdelincuentes con un router infectado.

Crear una botnet

Uno de los casos más comunes es cuando un router infectado se une a una botnet; es decir, una red de dispositivos que envían innumerables solicitudes a una página web o servicio online en particular como parte de un ataque DDoS. El objetivo de los atacantes es sobrecargar el servicio objetivo hasta el punto de que se ralentice y finalmente falle.

Mientras tanto, los usuarios comunes con routers secuestrados sufren velocidades de Internet más lentas porque sus routers están ocupados enviando solicitudes maliciosas y solo dirigen otro tráfico cuando hacen una pausa para respirar.

Según nuestros datos, en 2021 los routers fueron atacados más activamente por dos familias de malware: Mirai y Mēris. La primera lideró la primera posición con una gran ventaja con respecto a la segunda, encargándose de casi la mitad del total de ataques realizados a los routers.

Mirai

Esta famosa familia de malware con un dulce nombre, que significa “futuro” en japonés, es conocida desde 2016. Además de infectar a los routers, se sabe que también infecta a las cámaras IP, los televisores inteligentes y otros dispositivos IoT entre los que se incluyen los dispositivos corporativos como controladores inalámbricos y las pantallas publicitarias digitales. La botnet de Mirai fue concebida inicialmente para llevar a cabo ataques DDoS a gran escala en los servidores de Minecraft, pero más tarde se desplegó en otros servicios. El código fuente del malware se filtró online hace tiempo y es la base de las nuevas variantes que siguen surgiendo.

Mēris

Mēris significa “plaga” en letón, un nombre muy acertado, ya que afectó a miles de dispositivos de alto rendimiento, en su mayoría routers MikroTik, y los conectó a una red para ataques DDoS. Por ejemplo, durante un ataque a una empresa financiera estadounidense en 2021, el número de solicitudes de la red de dispositivos infectados con Mēris alcanzó los 17,2 millones por segundo. Unos meses más tarde, la botnet atacó a varias empresas financieras y de TI rusas, con un récord de 21,8 millones de solicitudes por segundo.

Robo de datos

Algunos programas maliciosos que infectan el router pueden causar daños aún más graves, como el robo de tus datos. Cuando estás conectado, recibes y envías mucha información importante: datos de pago en tiendas online, credenciales en redes sociales, documentos de trabajo por correo electrónico, etc. Toda esta información, junto con el resto del tráfico de tu red, pasa inevitablemente a través del router. Durante un ataque, los datos pueden ser interceptados por malware y caer directamente en las manos de los ciberdelincuentes.

Una de esas piezas de malware que roban datos es VPNFilter. Al infectar routers y servidores NAS, obtiene el poder de recopilar información y controlar o desactivar el router.

Páginas web falsas

El malware alojado en el router puede redirigirte discretamente a páginas con anuncios o sitios maliciosos que no son los que deseas visitar, y tú (e incluso tu navegador) pensarás que estás accediendo a una página web legítima, cuando en realidad estás en manos de los ciberdelincuentes.

Funciona así: cuando introduces en la barra de direcciones la URL de una web (por ejemplo, google.com), tu ordenador o tu smartphone envía una solicitud a un servidor DNS especial, donde se almacenan todas las direcciones IP registradas y sus correspondientes URL. Si el router está infectado, en lugar de a un servidor DNS legítimo, puede enviar solicitudes a uno falso que responde a la consulta “google.com” con la dirección IP de una web completamente diferente, una que podría ser un sitio de phishing.

El troyano Switcher hacía precisamente eso: infiltrarse en la configuración del router y definir un servidor DNS malicioso como predeterminado. Evidentemente, todos los datos introducidos ​​en las páginas falsas se filtraron a los atacantes.

¿Cómo se introduce el malware en los routers?

Hay dos formas principales de introducir malware en un router: adivinando la contraseña de administrador o explotando una vulnerabilidad en el dispositivo.

Adivinar la contraseña

Todos los routers del mismo modelo suelen tener la misma contraseña de administrador en la configuración de fábrica. La contraseña de administrador sirve para entrar al menú de configuración del router, no debe confundirse con la clave de seguridad de la red (la secuencia de caracteres que se introduce para conectarse a la wifi). Si el usuario, sin darse cuenta, dejó la configuración de fábrica y no hizo ningún cambio, los atacantes pueden adivinar fácilmente la contraseña e infectar el router, especialmente si conocen la marca de este.

Sin embargo, últimamente los fabricantes han comenzado a tomarse la seguridad más en serio y asignan contraseñas únicas aleatorias a cada dispositivo en particular, lo que hace que este método sea menos efectivo para los atacantes. Pero adivinar la combinación correcta de los modelos más antiguos sigue siendo pan comido.

Explotación de vulnerabilidades

Las vulnerabilidades de los routers son agujeros en su puerta de enlace a Internet a través de los cuales pueden entrar todo tipo de amenazas directamente a tu red doméstica o corporativa o simplemente quedarse en el router, donde es menos probable que los detectes. La botnet Mēris mencionada anteriormente hace exactamente eso, explotar las vulnerabilidades no parcheadas en los routers MikroTik.

Según nuestra investigación, solo en los dos últimos años se han descubierto cientos de nuevas vulnerabilidades en los routers. Para proteger los puntos débiles, los proveedores de routers lanzan parches y nuevas versiones de firmware (básicamente, actualizaciones del sistema operativo de los routers). Por desgracia, muchos usuarios no son conscientes de la necesidad de actualizar el software del router, como ocurre con otros programas.

¿Cómo proteger tu red?

Si quieres proteger tu router doméstico o corporativo y mantener a salvo tus datos, te recomendamos que:

  • Consultes, al menos una vez al mes, la página web del fabricante para obtener las últimas actualizaciones des firmware del router y las instales en cuanto estén disponibles. En algunos modelos, los parches se instalan automáticamente, pero en otros casos hay que instalarlos manualmente. Los pasos para actualizar el software de tu dispositivo también se pueden encontrar en la web del proveedor.
  • Crees una contraseña de administrador larga y segura para tu router. Y para no olvidar esta combinación, utiliza un gestor de contraseñas.
  • Si sabes cómo hacerlo o encuentras las instrucciones para llevarlo a cabo (en la web del mismo proveedor, por ejemplo) deshabilites el acceso remoto a la configuración de administración del router.
  • Configures correctamente la wifi: piensa en una contraseña única, usa un fuerte estándar de cifrado inalámbrico y configura redes de invitados para que tus vecinos o visitantes malintencionados o poco cautelosos no propaguen malware en tu red desde sus dispositivos infectados.

Utiliza una aplicación VPN que cifre toda la información externa antes de pasarla al router, manteniéndolo a salvo de los ciberdelincuentes incluso aunque hayan infectado el dispositivo.

Consejos