{"id":27267,"date":"2022-06-14T17:48:21","date_gmt":"2022-06-14T15:48:21","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27267"},"modified":"2022-06-14T17:48:21","modified_gmt":"2022-06-14T15:48:21","slug":"router-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/router-malware\/27267\/","title":{"rendered":"Las amenazas secretas del malware en los routers"},"content":{"rendered":"

Todas las semanas revisas tu ordenador en busca de virus, actualizas los sistemas y programas en cuanto sale una nueva versi\u00f3n<\/a>, usas contrase\u00f1as seguras y, en general, llevas cuidado en tu actividad online<\/em>\u2026 pero, por alguna raz\u00f3n, tu conexi\u00f3n a Internet va lenta y algunas p\u00e1ginas web te deniegan el acceso. Podr\u00eda ser malware,<\/em> pero no en tu ordenador, sino en el router<\/em>.<\/em><\/p>\n

\u00bfPor qu\u00e9 los routers<\/em>?<\/h2>\n

Los ciberdelincuentes dirigen sus ataques hacia los routers<\/em> principalmente por dos razones: La primera es porque todo el tr\u00e1fico de la red pasa por estos dispositivos; y la segunda, es que no se puede escanear un router <\/em>mediante un antivirus normal. Por lo tanto, el malware<\/em> que se haya instalado en el router<\/em> tiene muchas oportunidades de atacar y muchas menos posibilidades de ser detectado y mucho menos eliminado. Ahora hablemos de qu\u00e9 podr\u00edan hacer los ciberdelincuentes con un router<\/em> infectado.<\/p>\n

Crear una botnet<\/em><\/h2>\n

Uno de los casos m\u00e1s comunes es cuando un router <\/em>infectado se une a una botne<\/em>t; es decir, una red de dispositivos que env\u00edan innumerables solicitudes a una p\u00e1gina web o servicio online <\/em>en particular como parte de un ataque DDoS. El objetivo de los atacantes es sobrecargar el servicio objetivo hasta el punto de que se ralentice y finalmente falle.<\/p>\n

Mientras tanto, los usuarios comunes con routers<\/em> secuestrados sufren velocidades de Internet m\u00e1s lentas porque sus routers<\/em> est\u00e1n ocupados enviando solicitudes maliciosas y solo dirigen otro tr\u00e1fico cuando hacen una pausa para respirar.<\/p>\n

Seg\u00fan nuestros datos, en 2021 los routers<\/em> fueron atacados m\u00e1s activamente por dos familias de malware<\/em>: Mirai y M\u0113ris. La primera lider\u00f3 la primera posici\u00f3n con una gran ventaja con respecto a la segunda, encarg\u00e1ndose de casi la mitad del total de ataques realizados a los routers<\/em>.<\/p>\n

Mirai<\/h3>\n

Esta famosa familia de malware<\/em> con un dulce nombre, que significa \u201cfuturo\u201d en japon\u00e9s, es conocida desde 2016. Adem\u00e1s de infectar a los routers<\/em>, se sabe que tambi\u00e9n infecta a las c\u00e1maras IP, los televisores inteligentes y otros dispositivos IoT entre los que se incluyen los dispositivos corporativos como controladores inal\u00e1mbricos y las pantallas publicitarias digitales. La botnet <\/em>de Mirai fue concebida inicialmente para llevar a cabo ataques DDoS a gran escala en los servidores de Minecraft, pero m\u00e1s tarde se despleg\u00f3 en otros servicios. El c\u00f3digo fuente del malware <\/em>se filtr\u00f3 online <\/em>hace tiempo y es la base de las nuevas variantes que siguen surgiendo.<\/p>\n

M\u0113ris<\/h3>\n

M\u0113ris significa \u201cplaga\u201d en let\u00f3n, un nombre muy acertado, ya que afect\u00f3 a miles de dispositivos de alto rendimiento, en su mayor\u00eda routers<\/em> MikroTik, y los conect\u00f3 a una red para ataques DDoS. Por ejemplo, durante un ataque a una empresa financiera estadounidense<\/a> en 2021, el n\u00famero de solicitudes de la red de dispositivos infectados con M\u0113ris alcanz\u00f3 los 17,2 millones por segundo. Unos meses m\u00e1s tarde, la botnet<\/em> atac\u00f3 a varias empresas financieras y de TI rusas<\/a>, con un r\u00e9cord de 21,8 millones de solicitudes por segundo.<\/p>\n

Robo de datos<\/h2>\n

Algunos programas maliciosos que infectan el router <\/em>pueden causar da\u00f1os a\u00fan m\u00e1s graves, como el robo de tus datos. Cuando est\u00e1s conectado, recibes y env\u00edas mucha informaci\u00f3n importante: datos de pago en tiendas online<\/em>, credenciales en redes sociales, documentos de trabajo por correo electr\u00f3nico, etc. Toda esta informaci\u00f3n, junto con el resto del tr\u00e1fico de tu red, pasa inevitablemente a trav\u00e9s del router<\/em>. Durante un ataque, los datos pueden ser interceptados por malware<\/em> y caer directamente en las manos de los ciberdelincuentes.<\/p>\n

Una de esas piezas de malware<\/em> que roban datos es VPNFilter.<\/a> Al infectar routers<\/em> y servidores NAS, obtiene el poder de recopilar informaci\u00f3n y controlar o desactivar el router<\/em>.<\/p>\n

P\u00e1ginas web falsas<\/h2>\n

El malware<\/em> alojado en el router<\/em> puede redirigirte discretamente a p\u00e1ginas con anuncios o sitios maliciosos que no son los que deseas visitar, y t\u00fa (e incluso tu navegador) pensar\u00e1s que est\u00e1s accediendo a una p\u00e1gina web leg\u00edtima, cuando en realidad est\u00e1s en manos de los ciberdelincuentes.<\/p>\n

Funciona as\u00ed: cuando introduces en la barra de direcciones la URL de una web (por ejemplo, google.com), tu ordenador o tu smartphone <\/em>env\u00eda una solicitud a un servidor DNS especial, donde se almacenan todas las direcciones IP registradas y sus correspondientes URL. Si el router<\/em> est\u00e1 infectado, en lugar de a un servidor DNS leg\u00edtimo, puede enviar solicitudes a uno falso que responde a la consulta \u201cgoogle.com\u201d con la direcci\u00f3n IP de una web completamente diferente, una que podr\u00eda ser un sitio de phishing<\/em><\/a>.<\/p>\n

El troyano Switcher hac\u00eda precisamente eso: infiltrarse en la configuraci\u00f3n del router<\/em> y definir un servidor DNS malicioso como predeterminado. Evidentemente, todos los datos introducidos \u200b\u200ben las p\u00e1ginas falsas se filtraron a los atacantes.<\/p>\n

\u00bfC\u00f3mo se introduce el malware<\/em> en los routers<\/em>?<\/h2>\n

Hay dos formas principales de introducir malware<\/em> en un router<\/em>: adivinando la contrase\u00f1a de administrador o explotando una vulnerabilidad en el dispositivo.<\/p>\n

Adivinar la contrase\u00f1a<\/h3>\n

Todos los routers<\/em> del mismo modelo suelen tener la misma contrase\u00f1a de administrador en la configuraci\u00f3n de f\u00e1brica. La contrase\u00f1a de administrador sirve para entrar al men\u00fa de configuraci\u00f3n del router<\/em>, no debe confundirse con la clave de seguridad de la red (la secuencia de caracteres que se introduce para conectarse a la wifi). Si el usuario, sin darse cuenta, dej\u00f3 la configuraci\u00f3n de f\u00e1brica y no hizo ning\u00fan cambio, los atacantes pueden adivinar f\u00e1cilmente la contrase\u00f1a e infectar el router<\/em>, especialmente si conocen la marca de este.<\/p>\n

Sin embargo, \u00faltimamente los fabricantes han comenzado a tomarse la seguridad m\u00e1s en serio y asignan contrase\u00f1as \u00fanicas aleatorias a cada dispositivo en particular, lo que hace que este m\u00e9todo sea menos efectivo para los atacantes. Pero adivinar la combinaci\u00f3n correcta de los modelos m\u00e1s antiguos sigue siendo pan comido.<\/p>\n

Explotaci\u00f3n de vulnerabilidades<\/h3>\n

Las vulnerabilidades de los routers <\/em>son agujeros en su puerta de enlace a Internet a trav\u00e9s de los cuales pueden entrar todo tipo de amenazas directamente a tu red dom\u00e9stica o corporativa o simplemente quedarse en el router<\/em>, donde es menos probable que los detectes. La botnet <\/em>M\u0113ris mencionada anteriormente hace exactamente eso, explotar las vulnerabilidades no parcheadas en los routers <\/em>MikroTik.<\/p>\n

Seg\u00fan nuestra investigaci\u00f3n<\/a>, solo en los dos \u00faltimos a\u00f1os se han descubierto cientos de nuevas vulnerabilidades en los routers<\/em>. Para proteger los puntos d\u00e9biles, los proveedores de routers <\/em>lanzan parches y nuevas versiones de firmware<\/em> (b\u00e1sicamente, actualizaciones del sistema operativo de los routers<\/em>). Por desgracia, muchos usuarios no son conscientes de la necesidad de actualizar el software <\/em>del router<\/em>, como ocurre con otros programas.<\/p>\n

\u00bfC\u00f3mo proteger tu red?<\/h2>\n

Si quieres proteger tu router <\/em>dom\u00e9stico o corporativo y mantener a salvo tus datos, te recomendamos que:<\/p>\n