Así opera el virus que atacó a cientos de miles de enrutadores y que tiene en alerta al FBI

, Internet, Pequeñas Empresas, Telecomunicaciones

Provendría de Rusia.Reiniciar todos los enrutadores del mundo. Esa fue la advertencia que el viernes emitió el FBI para detener una oleada de infecciones causada por un virus informático que se originó en Rusia y que hasta el momento ha infectado a cerca de 500 mil equipos en 54 países.
Este código malicioso afecta a enrutadores (en ingles, routers ) domésticos y de pequeñas empresas. Si en una casa hay internet, lo más probable es que ese hogar tenga un enrutador provisto por la compañía de telecomunicaciones.
“Estos equipos son la puerta de entrada y de salida de internet, por lo tanto son públicos. Cualquiera puede comunicarse con ellos y enviar un paquete de datos, lo que los hace vulnerables si no se han tomado los resguardos”, dice Denise Giusto, especialista en seguridad informática de ESET.

Inteligencia rusa
El virus -conocido como VPNFilter- fue reportado por la empresa Cisco la semana pasada. “Es una amenaza expansiva, robusta, altamente capaz y peligrosa que ataca a dispositivos que son difíciles de defender”, dice Cisco en su boletín de seguridad. Entre las marcas de enrutadores afectados están Netgear, TP-Link y Linksys.
El departamento de Justicia estadounidense cree que tras estas infecciones está el grupo Sofacy y que, según señala The New York Times, se cree es dirigido por la agencia de inteligencia militar de Rusia. Además, el análisis de Cisco reveló que el código del virus tiene mucha similitud con el malware BlackEnergy, responsable de un ataque a gran escala en Ucrania.
De ahí que el mismo FBI se hiciera cargo de difundir un boletín en que recomienda a los usuarios de todo el mundo resetear sus enrutadores para frenar, en parte, el problema.
Según Denise Giusto, hay varias formas en que un router está desprotegido contra este tipo de códigos maliciosos. “En este caso, lo más probable es que se trate de equipos en que los usuarios no han cambiado las credenciales de acceso (contraseñas) que vienen de fábrica. Entonces, para los atacantes es sencillo saber el modelo de enrutador que se usa, conocer las contraseñas para tomar control de él e infectarlo. Incluso hay buscadores como Shodan en que se puede encontrar qué dispositivo de este tipo está conectado en el mundo”.
Fabio Assolini, analista senior de Kaspersky Lab, dice que el virus posee características muy interesantes: una carga destructiva que podría dejar inutilizables los equipos infectados, además de tres etapas distintas de infección y tres canales diferentes de comunicación para ser controlado a distancia. Una vez que el equipo está infectado, no solo está comprometida la información de los usuarios del enrutador (contraseñas, chateos, correos), sino que es posible crear “ejércitos” de estos aparatos y atacar un determinado objetivo estratégico.
“El ciberdelincuente puede redireccionar al usuario a sitios falsos -para capturar contraseñas- o programar un sitio específico para distribuir cualquier tipo de malware . En pocas palabras, puede controlar todo”, aclara Assolini.
El experto dice que como estos dispositivos no tienen sistemas de almacenamiento, el malware normalmente reside en la memoria volátil (RAM), por lo que un simple reseteo los puede desinfectar.
Sin embargo, en el caso de este virus, existe un componente que persiste a pesar del reinicio del equipo, por lo que una recomendación es hacer un reseteo del tipo “valores de fábrica”.
En tanto, Giusto también recomienda cambiar las claves dadas por los instaladores y poner las propias, ojalá con 12 caracteres de largo y con letras, números y mayúsculas. La última recomendación es actualizar constantemente el firmware (software interno) del enrutador, ya que este subsana vulnerabilidades detectadas.


Noticias Relacionadas con este Artículo



Nosotros le podemos ayudar
Etcheberry Consultores