Los routers domésticos se convierten en objetivo criminal

24/01/08 18:14:05

LOS "ROUTERS" DOMÉSTICOS SE CONVIERTEN EN OBJETIVO CRIMINAL

Mercè Molist
Primero fueron los servidores corporativos, después los ordenadores domésticos y, ahora, los "routers" ADSL presentes en cada vez más hogares. Los creadores de código malicioso han descubierto en estos aparatos un nuevo objetivo a atacar. El hecho de que sean pequeños ordenadores, que estén siempre encendidos y poco protegidos los convierte en piezas fáciles y atractivas.

Las pasadas Navidades, en México, se vivió lo que algunos expertos en seguridad temían: el primer caso real de modificación masiva de la configuración de "routers" domésticos, para usarlos en estafas de "phishing". Aunque no hay datos de su alcance, se cree que fue muy rentable para los criminales, que lo han repetido en diversas oleadas. La empresa Symantec afirma en su blog corporativo: "Ahora que se ha realizado por primera vez este ataque, habrá otros".

Symantec lo había predicho un año antes: un código malicioso podría, vía web o correo electrónico, tomar el control de un "router" doméstico. En el caso mexicano, se hizo por correo. No había que pinchar en ningún adjunto, sólo con visualizar el mensaje, en HTML, era suficiente. Este contenía diversos comandos que, al ser interpretados por el programa de correo, "cobraban vida" y cambiaban la configuración del "router".

El ataque iba dirigido a los "routers" 2wire, muy populares en México porque la operadora Telmex los regala a sus clientes, sin clave de acceso. Así, el código tenía paso franco para inyectar nuevas instrucciones al aparato, de forma que cuando la víctima teclease en su navegador la dirección del más importante banco mexicano, Banamex, el "router" la llevaría a otro sitio con la misma apariencia. Todos los datos que allí se introdujesen irían directos a los criminales.

Al ser un nuevo tipo de ataque, ningún antivirus lo detecta. Algunos afectados explican su caso en el blog de VirusTotal, como Ileana: "He sido una de las ingenuas que abrió la tarjeta del gusanito, en un día me robaron 3 veces. Mi pregunta es qué hago ahora, qué debo buscar en mi computadora para eliminar las direcciones falsas, mi antivirus no me registra ningún virus y también, cómo reconfiguro mi 2wire??". Según el centro de seguridad mexicano UNAM-CERT, la empresa responsable no ha dado aún una solución.

Los programas maliciosos que asaltan "routers" no son una novedad, explica Bernardo Quintero, de Hispasec Sistemas, pero hasta ahora no se habían usado para fraudes masivos: "Un atacante puede, realizando un barrido por Internet, buscar una vulnerabilidad concreta en un "router" que le permita acceder a la red o redes que hay detrás de él, previsiblemente corporativas. Eso siempre ha existido, pero nunca se había hecho un ataque masivo dirigido al cliente final, con un "router" doméstico".

Lo que hace atractivos a estos aparatos es que son pequeños ordenadores con un sistema operativo propio que, explica Quintero, "permite configuraciones de alto nivel como redirigir el tráfico para que llegue al atacante, abrir una puerta en el "router" para acceder a los ordenadores que conectan a través de él, hacer ataques de denegación de servicio, hospedar contenidos, etc". Al estar siempre encendidos y tener contraseñas débiles o por defecto son de fácil acceso.

Los expertos coinciden en imaginar el próximo paso: un gusano que se autopropague de "router" a "router", sin intervención humana. Sólo precisaría estar programado para atacar una marca muy popular y usar un ordenador como pasarela a través del cual entraría en el primer "router", como se ha hecho en México. Una vez tomada esta posición, escanearía millones de direcciones IP a la búsqueda de otros aparatos vulnerables, en los que se introduciría automáticamente a través de Internet o por sus conexiones inalámbricas.

Un reciente estudio de la Universidad de Indiana avisa contra este posible escenario, destacando la especial vulnerabilidad de las conexiones inalámbricas, más inseguras porque o no están protegidas o usan el sistema de cifrado WEP (Privacidad Equivalente a Cableado), fácilmente atacable de forma automatizada. Así, el gusano saltaría de un "router" a otro a través de las ondas aunque, según Quintero, "su vida de propagación sería muy limitada, a no ser que haya una concentración de "routers" de un mismo modelo en un área geográfica".

A nadie se le escapa que las redes de ordenador "zombies" o "botnets", la peor plaga en la actualidad, nacieron también primero en la imaginación de los investigadores, para hacerse fatalmente reales meses después. La única defensa por el momento contra los ataques a "routers" domésticos es cambiar las contraseñas que vienen por defecto y proteger sus conexiones inalámbricas con el sistema seguro WPA (Acceso Protegido Wi-Fi).

Para ello, hay que acceder al router desde el ordenador, tecleando en el navegador la dirección facilitada por el fabricante, por ejemplo 192.168.1.100, o instalando los programas del CD que acompaña al aparato. Después de introducir el nombre de usuario y contraseña que indique el fabricante, aparece una interfaz con diferentes opciones, entre ellas cambiar la contraseña del router y acceder a las opciones "Wireless" (Inalámbricas).

Dentro del menú "Wireless" hay un submenú "WPA". Se indica al router que active esta autenticación, con protocolo WPA-PSK y privacidad TKIP, y se introduce la contraseña deseada para WPA, a ser posible de más de seis caracteres, mezclando mayúsculas, minúsculas y números. Esta recomendación es extensible a todas las contraseñas, también la del router. La Wi-Fi Alliance creó la protección WPA para corregir las múltiples deficiencias del anterior sistema, WEP, a la espera de la implantación del estándar 802.11i.

Ataques Phishing/Pharming Explotando Vulnerabilidades en Ruteadores 2Wire
http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=5534

Nuevo método de fraude bancario
http://blog.hispasec.com/laboratorio/255

Pharming y phishing aprovecha vulnerabilidad de routers ADSL
http://www.hispasec.com/unaaldia/3312

Drive-by Pharming in the Wild
http://www.symantec.com/enterprise/security_response/weblog/2008/01/driveby_pharming_in_the_wild.html

WiFi flu: viral router attack could hit whole cities
http://arstechnica.com/news.ars/post/20080102-wireless-router-security-flaws-could-fuel-viral-outbreak.html

Wi-Fi Protected Access
http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access

Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

<<