Seguridad en routers: ¿la tenemos en cuenta?
Cuando hablamos de seguridad en hogares o empresas casi todo el mundo piensa en las estaciones de trabajo (ordenadores de sobremesa y portátiles), servidores y, desde hace poco, dispositivos móviles (smartphones y tablets). Pero poca gente piensa en el router como un dispositivo más que también se ha de mantener actualizado y controlado para evitar que alguien se aproveche de vulnerabilidades en el dispositivo que pudieran comprometer la seguridad de toda la red.
Desde hace años, muchos investigadores en seguridad vienen avisando y demostrando cómo muchas vulnerabilidades presentes en los routers están siendo aprovechadas por atacantes en su propio beneficio. En la Defcon de este verano pudimos ver en directo cómo varios investigadores presentaban sus charlas con relación a este tema. Vimos por ejemplo que muchos de los routers que se usan en un ámbito doméstico o de pequeña empresa pueden ser comprometidos y convertirse en parte de una botnet al actualizarlos con una versión modificada del firmware proporcionado por el fabricante.
Asimismo, el fabricante chino Huawei fue duramente criticado en otra presentación debido a los numerosos fallos que se encontraron en sus productos. En dicha charla se demostró que la calidad de su código era muy pobre, existiendo puertos importantes (SSH, FTP, HTTP) abiertos por defecto que permiten, por ejemplo, acceder a la memoria flash del sistema por FTP. Por suerte, la empresa ya ha empezado a tomar cartas en el asunto y ya ha anunciado que va a solucionar buena parte de los fallos publicados.
Precisamente, en otra charla de seguridad como la recientemente celebrada en Dallas Virus Bulletin se ha hecho público un estudio realizado por el investigador Fabio Assolini, donde mostró cómo hasta 4.5 millones de routers en Brasil habían visto comprometida su seguridad durante 2011. Los atacantes primero realizaron un análisis de rangos de IP en busca de routers expuestos para, seguidamente, aprovecharse de alguna vulnerabilidad conocida en su firmware o simplemente usando las contraseñas que vienen por defecto. Una vez obtenido el control del dispositivo, los atacantes cambiaban la configuración de las DNS por otras que estaban gestionadas por ellos.
El porqué de cambiar la configuración DNS de un router tiene su explicación. Las DNS (o servidores de nombres de dominio) se encargan de traducir la dirección de una web cuando la escribimos en nuestro navegador en una dirección IP. Si controlamos una DNS maliciosa, podemos hacer que los usuarios accedan a sitios maliciosos desde donde se descarga malware o se roba información privada. Por ejemplo, un usuario puede introducir correctamente la dirección de su banco para realizar operaciones online pero, al tener un DNS malicioso establecido en su router, se le puede dirigir a una web maliciosa que suplanta la del banco original y desde ahí se le podrían robar todos sus datos de acceso.
Pero no hace falta cruzar el Atlántico para ver casos de este estilo. Hace un par de días, sin ir más lejos, hemos visto publicado en el blog de Chema Alonso un artículo muy interesante que nos habla de la inseguridad que presenta la estructura de la red de clientes de ONO. Dicho artículo, escrito por el investigador Gerard Norton, nos descubre que se puede acceder a miles de routers de esta empresa con las contraseñas por defecto, y esto es solo el principio.
Desde hace años se sabe que la infraestructura de la mayoría de telecos en España deja mucho que desear en materia de seguridad. Gerard nos demuestra en su post que el daño que se podría causar por uno o varios atacantes es muy alto. Entre estos posibles ataques se incluye ARP-Spoofing, MITM contra la red de ONO omontar un servidor TFTP y suplantar los ficheros de configuración. También se podrían entregar direcciones IP a clientes que estén dentro de la infraestructura de ONO, o, como en el caso de los routers en Brasil, montar un servidor DNS malicioso y hacer todas las maldades que hemos descrito en el caso anterior.
Como vemos, el panorama de la seguridad en los routers deja mucho que desear, y es que, mientras la mayoría de usuarios solo piensen en estos dispositivos como en “el aparato en el que si las lucecitas están todas encendidas y parpadean es que todo está bien”, los atacantes podrán aprovecharse de las vulnerabilidades que presentan. No estaría de más que los usuarios nos empezásemos a interesar en si existen actualizaciones para el firmware de nuestro router y que las empresas que los fabrican y/o instalan los protejan de serie con las medidas necesarias.
Related Posts
-
Evernote cambia la contraseña de 50 millones de usuarios tras ver comprometida su seguridad
-
El territorio comanche de Internet y de la incapacidad de defender nuestra privacidad en la Red
-
¿Qué hacer tras las filtraciones de datos personales procedentes de Facebook y LinkedIn?
-
ESET lanza nuevas versiones 4.2 en español
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.