{"id":25413,"date":"2021-06-03T13:52:52","date_gmt":"2021-06-03T11:52:52","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25413"},"modified":"2021-06-03T13:52:52","modified_gmt":"2021-06-03T11:52:52","slug":"rsa2021-hijacked-router","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/rsa2021-hijacked-router\/25413\/","title":{"rendered":"Routers: el punto d\u00e9bil del teletrabajo"},"content":{"rendered":"

Desde una perspectiva de ciberseguridad, lo peor del movimiento en masa al teletrabajo ha sido la p\u00e9rdida de control de los ambientes de red locales de las estaciones de trabajo. Los routers<\/em> dom\u00e9sticos de los empleados representan un riesgo en especial, ya que, en esencia, reemplazaron la infraestructura de red que generalmente est\u00e1 a cargo de los especialistas inform\u00e1ticos. En la conferencia RSA 2021<\/a>, en concreto en esta sesi\u00f3n<\/a> sobre c\u00f3mo abordar las amenazas a las que se enfrentan los empleados a distancia<\/a>, los investigadores Charl van der Walt y Wicus Ross informaron sobre las nuevas formas en las que los ciberdelincuentes pueden atacar los ordenadores corporativos mediante los routers<\/em>.<\/p>\n

Por qu\u00e9 los routers dom\u00e9sticos son un grave problema<\/h2>\n

Incluso aunque las pol\u00edticas de seguridad corporativa cubrieran las actualizaciones del sistema operativo de todos los ordenadores de trabajo, as\u00ed como el resto de las configuraciones relevantes, los routers<\/em> dom\u00e9sticos seguir\u00edan quedando fuera del control de los administradores de sistemas. Con respecto a los ambientes de teletrabajo, el departamento inform\u00e1tico no puede saber qu\u00e9 otros dispositivos est\u00e1n conectados a una red, si el firmware<\/em> del router<\/em> est\u00e1 actualizado o si la contrase\u00f1a es segura (o incluso si el usuario ha cambiado la contrase\u00f1a predeterminada de f\u00e1brica).<\/p>\n

Esta falta de control es solo una peque\u00f1a parte del problema. Algunos routers<\/em> y SOHO dom\u00e9sticos presentan vulnerabilidades conocidas que los ciberdelincuentes pueden explotar para obtener el control completo del dispositivo, lo que dar\u00eda como resultado una serie de botnets<\/em> sobre los dispositivos del IdC como Mirai<\/a>, capaz de combinar decenas, y a veces cientos, de miles de routers<\/em> secuestrados para diversos fines.<\/p>\n

En este sentido, cabe recordar que cada router<\/em> es, b\u00e1sicamente, un ordenador peque\u00f1o que ejecuta alg\u00fan tipo de distribuci\u00f3n de Linux, por tanto, los ciberdelincuentes pueden lograr muchas cosas una vez que secuestran un router<\/em>. Estos son algunos ejemplos sacados del informe de los investigadores.<\/p>\n

Secuestrar una conexi\u00f3n VPN<\/h2>\n

Las empresas utilizan una VPN (red privada virtual por sus siglas en ingl\u00e9s) como herramienta principal para compensar los ambientes de red poco fiables de sus empleados. Las VPN ofrecen un canal cifrado mediante el cual los datos viajan entre el ordenador y la infraestructura corporativa.<\/p>\n

Muchas empresas utilizan una VPN en modo de t\u00fanel dividido: <\/em>el tr\u00e1fico a los servidores de la empresa, como mediante una conexi\u00f3n RDP (protocolo de escritorio remoto por sus siglas en ingl\u00e9s), pasa por la VPN; el resto del tr\u00e1fico pasa por la red p\u00fablica no cifrada, que en general est\u00e1 bien. Sin embargo, si un ciberdelincuente controla el router<\/em> puede crear una ruta DHCP (protocolo de configuraci\u00f3n din\u00e1mica de host<\/em> por sus siglas en ingl\u00e9s) y redirigir el tr\u00e1fico del RDP a su propio servidor. Si bien no lo acerca a descifrar la VPN, s\u00ed puede crear una pantalla de inicio de sesi\u00f3n falsa para interceptar las credenciales de conexi\u00f3n al RDP. A los estafadores de ransomware<\/em> les encanta usar el RDP<\/a>.<\/p>\n

Cargar un sistema operativo externo<\/h2>\n

Otra situaci\u00f3n astuta para un ataque con un router<\/em> secuestrado implica explotar la funci\u00f3n PXE (entorno de ejecuci\u00f3n de prearranque por sus siglas en ingl\u00e9s). Los adaptadores de red actuales utilizan el PXE para cargar un sistema operativo en los ordenadores por medio de la red. Por lo general, esta funci\u00f3n est\u00e1 desactivada, pero algunas empresas lo utilizan, por ejemplo, para restaurar en remoto el sistema operativo de un empleado en caso de error.<\/p>\n

Un ciberdelincuente que controla el servidor DHCP en un router<\/em> puede proporcionar una direcci\u00f3n de un sistema modificado al adaptador de red de la estaci\u00f3n de trabajo, a fin de ejercer control remoto. Es poco probable que los empleados se percaten de la situaci\u00f3n, ni mucho menos que sepan qu\u00e9 est\u00e1 pasando (especialmente si est\u00e1n distra\u00eddos con las notificaciones de instalaci\u00f3n de actualizaciones). Mientras tanto, los ciberdelincuentes tienen libre acceso al sistema de archivos.<\/p>\n

C\u00f3mo protegerse<\/h2>\n

Para proteger los ordenadores de los empleados de los ataques ya mencionados y de otros, toma nota de estas medidas:<\/p>\n