{"id":18340,"date":"2019-04-30T11:25:39","date_gmt":"2019-04-30T09:25:39","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18340"},"modified":"2019-11-22T10:53:37","modified_gmt":"2019-11-22T08:53:37","slug":"hacked-routers-dns-hijacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/hacked-routers-dns-hijacking\/18340\/","title":{"rendered":"Actualiza tu router para evitar el phishing"},"content":{"rendered":"

La amenaza actual m\u00e1s com\u00fan sigue siendo la misma: el phishing<\/em><\/a>, pero con una nueva versi\u00f3n que utiliza el router<\/em> y que no requiere que caigas en la trampa de un correo electr\u00f3nico. De hecho, las normas de seguridad m\u00e1s comunes<\/a> (evitar las redes de wifi p\u00fablicas, poner el cursor sobre los enlaces antes de clicar en ellos y dem\u00e1s) no te ayudar\u00e1n en esta situaci\u00f3n. A continuaci\u00f3n, vamos a echar un vistazo a las diferentes estrategias de phishing<\/em> relacionadas con el secuestro de routers<\/em>.<\/p>\n

El secuestro del router<\/em><\/h3>\n

Como norma general, un router<\/em> se puede hackear<\/em> de dos formas distintas y la primera se aprovecha del uso de las credenciales predeterminadas. Como ya sabr\u00e1s, cada router<\/em> cuenta con una contrase\u00f1a de administrador, pero no la que utilizas para conectarte a tu red wifi, sino la necesaria para iniciar sesi\u00f3n en el panel de administraci\u00f3n y cambiar la configuraci\u00f3n.<\/p>\n

Los usuarios pueden cambiar esta contrase\u00f1a, pero la mayor\u00eda optan por dejar la predeterminada por el proveedor, la opci\u00f3n m\u00e1s sencilla para los intrusos que pueden adivinarla o, incluso, buscarla en Google.<\/p>\n

La segunda estrategia consiste en aprovechar una vulnerabilidad en el firmware<\/em> del router<\/em> (lo cual es bastante com\u00fan) que permita al ciberdelincuente tomar el control del dispositivo sin necesidad de introducir ninguna contrase\u00f1a.<\/p>\n

De una forma u otra, los ciberdelincuentes pueden ejecutar su trabajo en remoto, de forma autom\u00e1tica y en masa. Una vez secuestrados, los routers<\/em> pueden ofrecer una serie de beneficios, pero en esta publicaci\u00f3n nos centraremos en este phishing<\/em> m\u00e1s dif\u00edcil de detectar.<\/p>\n\n

C\u00f3mo utilizar los routers<\/em> secuestrados para el phishing<\/em><\/h3>\n

Tras el secuestro, los atacantes modifican sus ajustes, pero se trata de un cambio muy peque\u00f1o e imperceptible. Tan solo alteran las direcciones de los servidores DNS que utiliza el router<\/em> para descifrar los nombres de dominio. Pero \u00bfqu\u00e9 significa todo esto? \u00bfPor qu\u00e9 es tan peligroso?<\/p>\n

El DNS (siglas en ingl\u00e9s de Sistema de Nombre de Dominio) es el pilar de Internet. Cuando introduces la direcci\u00f3n de un sitio web en la barra de direcciones del navegador, este no sabe realmente c\u00f3mo encontrarla, ya que los navegadores y los servidores web utilizan direcciones IP num\u00e9ricas y no los nombres de dominio que solemos utilizar los usuarios. Por tanto, el proceso es el siguiente:<\/p>\n

    \n
  1. El navegador env\u00eda una solicitud al servidor DNS.<\/li>\n
  2. El servidor DNS traduce la direcci\u00f3n del sitio web de un formato legible para los usuarios a su direcci\u00f3n IP num\u00e9rica y se la comunica al navegador.<\/li>\n
  3. Ahora el navegador ya sabe d\u00f3nde encontrar el sitio web y carga la p\u00e1gina por ti.<\/li>\n<\/ol>\n

    Todo sucede muy r\u00e1pido y sin que te des cuenta. Pero cuando secuestran tu router<\/em> y cambian las direcciones del servidor DNS, todas tus peticiones van directamente al servidor DNS controlado por los atacantes. En lugar de devolver la direcci\u00f3n IP del sitio que quieres visitar, el servidor malicioso devuelve una direcci\u00f3n IP falsa. Es decir, esta vez los ciberdelincuentes no te enga\u00f1an a ti, sino al navegador para que cargue una p\u00e1gina web de phishing<\/em> y no el sitio que esperabas. Lo m\u00e1s preocupante es que tanto el navegador como t\u00fa cre\u00e9is que la p\u00e1gina es leg\u00edtima.<\/p>\n

    The Brazilian Job: una campa\u00f1a de phishing<\/em> con routers<\/em> secuestrados<\/h3>\n

    En la \u00faltima ola de este tipo de ataques<\/a>, los ciberdelincuentes se han aprovechado de los fallos de seguridad en los routers<\/em> D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech y TOTOLINK para comprometer estos dispositivos y modificar los ajustes del DNS. Por tanto, cada vez que los propietarios de los routers<\/em> secuestrados intentaban acceder a sus cuentas de banca online<\/em> o a los sitios web de proveedores de servicios, el servidor DNS bajo el control de los secuestradores los redirig\u00eda a p\u00e1ginas de phishing<\/em> dise\u00f1adas para robar sus credenciales.<\/p>\n

    Esta campa\u00f1a se ha dirigido principalmente a los usuarios brasile\u00f1os, recreando los sitios de instituciones financieras, bancos, alojamiento web y proveedores de computaci\u00f3n en la nube establecidos en Brasil.<\/p>\n

    Los secuestradores tambi\u00e9n atacaron a usuarios de algunos de los servicios m\u00e1s importantes en Internet, como PayPal, Netflix, Uber y Gmail.<\/p>\n

    C\u00f3mo protegerte de esta nueva versi\u00f3n de phishing<\/em><\/h3>\n

    Como ya hemos comentado anteriormente, este tipo de phishing<\/em> es pr\u00e1cticamente indetectable. No obstante, no tienes por qu\u00e9 perder la esperanza si sigues esta serie de consejos:<\/p>\n

      \n
    1. Inicia sesi\u00f3n en la interfaz web del router<\/em>, cambia las contrase\u00f1as predeterminadas e inhabilita la administraci\u00f3n en remoto y otros ajustes peligrosos<\/a>.<\/li>\n
    2. Las actualizaciones suelen solucionar las vulnerabilidades, por tanto, intenta mantener al d\u00eda el firmware<\/em> del router<\/em>. En algunos modelos las actualizaciones se realizan de forma autom\u00e1tica, pero en otros la instalaci\u00f3n debe ser manual. Busca online<\/em> la informaci\u00f3n del proveedor de tu router<\/em> para comprobar su sistema de actualizaci\u00f3n.<\/li>\n
    3. Presta atenci\u00f3n a los detalles inusuales y a las ventanas emergentes inesperadas, incluso en los sitios web que m\u00e1s visitas. Intenta hacer clic en varias secciones del sitio, ya que es casi imposible que los ciberdelincuentes recreen un sitio web al completo y con total fidelidad, incluso en los casos en los que el dise\u00f1o de la p\u00e1gina de phishing<\/em> es sumamente profesional.<\/li>\n
    4. Antes de introducir tus credenciales (o cualquier tipo de informaci\u00f3n sensible), aseg\u00farate de que las conexiones son seguras (comprueba que el principio de la URL sea https:\/\/) y verifica que el nombre del certificado coincida con el nombre de la entidad. Para ello, haz clic en el candado que aparece en la barra de direcciones del navegador:<\/li>\n<\/ol>\n
        \n
      • En Internet Explorer o Edge ver\u00e1s la informaci\u00f3n del certificado que necesitas de inmediato.<\/li>\n
      • En Mozilla, tendr\u00e1s que hacer clic en Conexi\u00f3n<\/em>.<\/li>\n
      • En Chrome, haz clic en el candado y despu\u00e9s en Certificado<\/em> > General<\/em> y comprueba la informaci\u00f3n que aparece en Emitido por<\/em>.<\/li>\n<\/ul>\n\n","protected":false},"excerpt":{"rendered":"

        Los ciberdelincuentes secuestran routers para robar las credenciales de los servicios y la banca online de sus due\u00f1os.<\/p>\n","protected":false},"author":2508,"featured_media":18341,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,6],"tags":[197,123,43,1413,2903,52],"class_list":{"0":"post-18340","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-banca-online","10":"tag-contrasenas","11":"tag-phishing","12":"tag-routers","13":"tag-secuestro-del-dns","14":"tag-wifi"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacked-routers-dns-hijacking\/18340\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacked-routers-dns-hijacking\/15685\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/13221\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/17599\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacked-routers-dns-hijacking\/15745\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/14424\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacked-routers-dns-hijacking\/17220\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacked-routers-dns-hijacking\/22671\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacked-routers-dns-hijacking\/5942\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/26802\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacked-routers-dns-hijacking\/12082\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacked-routers-dns-hijacking\/11758\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacked-routers-dns-hijacking\/10657\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacked-routers-dns-hijacking\/19078\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacked-routers-dns-hijacking\/23100\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacked-routers-dns-hijacking\/18323\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacked-routers-dns-hijacking\/22526\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacked-routers-dns-hijacking\/22463\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18340","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2508"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=18340"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18340\/revisions"}],"predecessor-version":[{"id":19811,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18340\/revisions\/19811"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/18341"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=18340"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=18340"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=18340"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}