Cómo proteger los routers domésticos de ataques como VPNFilter

  • Endpoint

La infección de al menos medio millón de routers y dispositivos de almacenamiento NAS, tanto de tipo doméstico como para PYME, ha causado alarma mundial. ESET ha publicado una serie de consejos para que el usuario pueda proteger su equipamiento de comunicaciones.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Los routers domésticos están en el punto de mira de los ciberdelincuentes como ha quedado demostrado tras el ciberataque protagonizado por el malware VPNFilter, que ha logrado infectar al menos 500.000 routers en al menos 54 países.

El propio FBI ha lanzado una alerta dada la importancia de la amenaza que, en una acción coordinada a gran escala, podría incluso inutilizar la conexión a internet en barrios o ciudades enteras. Las autoridades recomiendan reiniciar el router (apagar y volver a encender). Sin embargo, esta acción “no elimina el malware del todo si ya ha obtenido persistencia. Lo mejor es ser proactivos e invertir unos minutos en la configuración del router y de los dispositivos conectados en tu red”, señalan sus expertos.

Consciente del papel clave que juegan los routers en la seguridad de todos los dispositivos conectados de nuestro hogar, la firma elaborado una lista de consejos para administrar su seguridad de la misma forma que hacemos con otros dispositivos conectados a Internet.  

Cambia la contraseña de tu router. Muchos usuarios siguen sin cambiar las contraseñas con las que vienen de fábrica sus dispositivos al instalarlos en casa. Ésta es una mala práctica porque las credenciales que vienen por defecto en los dispositivos pueden ser encontradas fácilmente haciendo una búsqueda en Internet. Por tanto, hay que cambiar tanto el usuario como la clave e intenta utilizar contraseñas fuertes y únicas.

Utilizar un cifrado fuerte en la red Wi-FI. La mayoría de los usuarios utiliza el router como un punto de acceso Wi-Fi al que conectarse desde cualquier parte de su hogar. Estos dispositivos suelen ofrecer diferentes tipos de cifrados para las conexiones Wi-Fi, dependiendo del nivel de seguridad que deseemos utilizar. Sin embargo, si utilizamos un cifrado débil como WEP estaríamos exponiendo nuestra red y los datos que viajan a través de ella. Cualquier atacante o vecino “gorrón” podría averiguar la contraseña en un par de minutos utilizando sencillas aplicaciones para móviles. Por eso, la firma recomienda utilizar cifrados más seguros como WPA2 y protegerlo con una contraseña robusta.

No difundir la red de forma pública. Toda red Wi-FI tiene una especie de “matrícula” que permite reconocerla cuando buscamos señales disponibles desde un dispositivo. Esta matrícula es conocida como SSID y todos los routers tienen una configurada por defecto por el fabricante. Sin embargo, este SSID puede servir para identificar un modelo de router en concreto y qué proveedor de Internet se está usando, información muy útil para saber qué vulnerabilidades se pueden utilizar para comprometer la seguridad del dispositivo y obtener acceso a la red Wi-Fi.

Es recomendable, por tanto, cambiar el SSID del router por otro de nuestra elección y ocultarlo para que no sea visible a todos los dispositivos que estén buscando una red Wi-Fi a la que conectarse. Los usuarios tendrán que configurar la conexión de forma manual en todos los dispositivos, pero ganarán en la seguridad de su red.

Deshabilitar los servicios y funcionalidades que no se utilicen. A menos que se sepa específicamente para qué sirve cada funcionalidad del router, conviente deshabilitar todas las que no estén en uso. Usando técnicas sencillas de escaneo se pueden determinar cuáles son los puertos y servicios abiertos. Éstos pueden ser accesibles desde el exterior y ser una puerta abierta para un atacante o un vecino curioso. Además, muchos de estos servicios pueden tener vulnerabilidades que un atacante podría aprovechar para tener acceso a la red.

La mayoría de routers incorporan una serie de opciones que permiten, por ejemplo, que los dispositivos se conecten más fácilmente a la red inalámbrica utilizando la funcionalidad WPS sin conocer la contraseña de la Wi-FI. Esto que puede parecer algo muy cómodo, también representa un peligro puesto que hay ataques que permiten explotar vulnerabilidades en la implementación de WPS.

Si no se necesita acceder al router desde el exterior de la casa, es mejor deshabilitar la administración remota, controlar que los servicios de administración sean sobre protocolos seguros como SSH o HTTPS y deshabilitar cualquier otra funcionalidad que no utilice.

Separar los dispositivos. La mayoría de los routers modernos para Internet de las Cosas permiten crear diferentes redes con distintos propósitos. Una buena práctica es aprovechar esta función y crear redes separadas, de forma que los dispositivos más sensibles queden lo menos expuestos posible.

Además, muchos routers traen también la funcionalidad de firewall, que permite analizar el tráfico entrante y saliente del dispositivo y determinar qué conexiones estarán permitidas y cuáles no. A partir de estas funcionalidades se puede, por ejemplo, separar los dispositivos sensibles del resto o elegir qué dispositivos se quieren compartir cuando hay invitados en casa y cuáles quedan aislados.

El objetivo es que los equipos más importantes estén protegidos en caso de acceso no autorizado o si ocurre una infección de malware.

Vigilar quién se conecta a la red. Es importante saber cuántos dispositivos están conectados a la red doméstica y poder identificarlos fácilmente porque es clave a la hora de detectar intrusos o comportamientos extraños.

Muchos routers facilitan la identificación de los equipos conectados ya que, en vez de usar nomenclaturas difíciles de entender como las direcciones MAC, permiten crear nombres personalizados para cada dispositivo. En estos casos, es recomendable tomarse unos minutos para identificar los equipos y poder luego reconocerlos más fácilmente. Algunas soluciones de seguridad, como las de este fabricante, incluyen ya herramientas de monitorización de la red doméstica, y permiten no solo revisar los dispositivos conectados a la red sino también comprobar si el router está debidamente actualizado o presenta alguna vulnerabilidad conocida.

Actualizar el firmware de los dispositivos. Los routers son dispositivos que también cuentan con su sistema operativo propio (firmware) y, al igual que cualquier otro, debe ser actualizado para corregir posibles bugs y vulnerabilidades. Sin embargo, la mayoría de usuarios se olvida de actualizar estos dispositivos o son los propios fabricantes quienes abandonan modelos que consideran obsoletos, dejando a los usuarios que aún los utilizan vulnerables a ataques.

Conviene revisar periódicamente la web del fabricante del router para buscar posibles actualizaciones de su firmware y, en caso de tener instalado un firmware vulnerable, siempre se puede optar por alguno de los firmware de código abierto disponibles. Estas versiones suelen ser más seguras que las proporcionadas por los fabricantes e incluso algunas pueden proporcionar funciones adicionales al router.