Cómo proteger los routers de los hackeos rusos

El FBI recomendó el pasado fin de semana reiniciar los routers a nivel mundial. Según describió en un comunicado, se debe a un malware ruso llamado VPNFilter que infectó 500 mil aparatos en los últimos días.

Este código malicioso hace que los routers se conviertan en bots, es decir, pueden ser controlados externamente con el objetivo de un ataque masivo o para infectar a otros e incluso estropearlos.

La compañía española Cisco Talos realizó una investigación sobre el tema y brindó ciertas recomendaciones para combatir el problema. La campaña de ciberataques con VPNFilter está dirigida contra dispositivos de las compañías Linksys, MikroTik, Netgear Inc, TP-Link y QNAP de Belkin International. Algunas de estas compañías recomiendan deshabilitar la configuración de administración remota y cambiar las contraseñas, además de actualizar al último firmware.

Para llevar a cabo el reseteo, se debe introducir un alambre en el botón de reset del equipo. Algunos modelos lo tienen dentro de un círculo rojo y etiquetado como tal. con un alambre, por ejemplo, hay que presionarlo durante aproximadamente siete segundos. Las personas deben ser conscientes de que al restablecerlo se pierden los ajustes personalizados. Hay que soltar el botón cuando la luz de “encendido” comience a parpadear; luego hay que dejar que el router se reinicie por completo.

Si usted tiene un dispositivo que se ve amenazado o si sospecha que se verá afectado es fundamental que se comunique con el fabricante para confirmar que el dispositivo esté actualizado con las últimas versiones. Lo importante es tomar precauciones con estos dispositivos, independientemente si se sabe si la amenaza los afecta o no.

Cisco Talos hizo hincapié en que a pesar de que aún carecen de pruebas definitivas de cómo VPNFilter realiza el hackeo en los routers, todos los modelos afectados hasta el momento suelen tener vulnerabilidades públicas. Para realizar las amenazas tienden a usar recursos mínimos. La penetración puede darse por contraseñas débiles y fáciles de hackear.

VPNFilter tiene una capacidad de destrucción importante. Si se activa puede dañar los dispositivos. Inspecciona el tráfico, roba los archivos e ingresa en la red a las que están conectados los routers.

Cisco Talos concluyó hasta el momento que hay 500 mil afectados en al menos 54 países. Sobre todo pertenecen a marcas como Linksys, MikroTik, NETGEAR y TP-Link.

Por lo estudiado hasta el momento, se considera que este código malicioso tiene como objetivo acceder a la información de pequeñas y medianas empresas que acostumbran tener los routers en redes domésticas (SOHO).

También pueden ser afectadas las empresas que usan los dispositivos para conectarse a la red y las que cuentan con un almacenamiento en red (NAS). Es decir, los usuarios entran a la red y pueden acceder y compartir a través de memorias de uno o más discos duros dentro de la red.

El FBI sostuvo que los grupos de hackers rusos Fancy Bear y APT28 querían producir un colapso en las computadoras durante la final de la Champions League, que se celebró el pasado sábado en Kiev (Ucrania). Rusia mantiene una elevada hostilidad con este país desde la separación de la Unión Soviética, sobre todo por el conflicto de Crimea.

Los modelos más vulnerables al malware ruso son los siguientes: Linksys E1200, Linksys E2500, Linksys WRVS4400N, Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, y 1072, Netgear DGN2200, Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000,Netgear WNR2000, QNAP TS251, QNAP TS439 Pro, QNAP NAS devices running QTS software y TP-Link R600VPN.