Servicios Tecnológicos sector empresarial

El router, nuestro talón de Aquiles

Escrito por Rogelio Toledo | 15-jun-2018 10:43:06

Malware es una palabra abreviada, del inglés, que significa ‘software malicioso’. Es software que ha sido específicamente diseñado para dañar un ordenador

ROUTERS, CONFIGURACION, MALWARE

El malware puede adquirir diversas formas, como spyware (software espía), gusanos, grabadores de pulsaciones del teclado, ... Prácticamente es cualquier programa diseñado para invadir y dañar un equipo.  

En la actualidad, la mayor parte del malware se programa para obtener dinero a partir de información robada (spyware), sea obteniendo información bancaria u otros datos sensibles como contraseñas (mediante la captura de pulsaciones de teclas) o dañando archivos y obligar a la víctima a pagar un rescate para su recuperación (ransomware).

Un limpiador de malware es un programa de software que combate los efectos negativos de los virus informáticos y, en nuestro caso, del malware.  Este pequeño programa incluso puede impedir la instalación de malware mediante la vigilancia constante de los servicios y procesos de los dispositivos.  Una vez detectado un cambio en el sistema o en un programa, pedirá permiso para ejecutar el antivirus que lo inspeccionará. El resultado determinará el tipo de programa (sea virus o no). Si es seguro, se permitirá la ejecución del programa. De lo contrario, será bloqueado y, a continuación, puesto en cuarentena (es decir, en un estado en el que no pueda utilizarse).

Desde el Área de Sistemas e Infraestructuras proveemos de las operaciones de Seguridad y Soporte a los Sistemas e información de las organizaciones.

LA SEGURIDAD DE NUESTROS DISPOSITIVOS Y DE NUESTRA INFORMACIÓN PERSONAL

Alguien que acceda a nuestra red podría instalar malware en los dispositivos conectados a la misma, lo que puede repercutir gravemente a nuestra seguridad.

El router es la puerta de entrada desde Internet hacia nuestra red privada por lo que configurarlo de manera correcta evitará, en la mayoría de las ocasiones, que alguien sin permiso se pueda “colar” e invada nuestra privacidad y seguridad.

Todos los router, lo que nos proporcionan los proveedores y los denominados “neutros”, cuentan con una configuración de parámetros por defecto que en la mayoría de los casos no son las más apropiadas.

Riesgos que podemos tener si no configuramos el router adecuadamente

Cuando un router no cuenta con las medidas de seguridad y las configuraciones apropiadas podemos sufrir las siguientes consecuencias:

  1. Robo de información personal. Cuando un intruso se conecta a nuestra red privada podría llegar a acceder a información personal. Un atacante con los suficientes conocimientos puede robar información almacenada en nuestros equipos personales y también podría acceder a la información que estamos enviando y recibiendo de Internet.
  2. Utilizar la red para realizar acciones ilegales. Si un delincuente logra acceder a nuestro router, puede usar los dispositivos que hay en nuestra red para llevar a cabo acciones ilegales como conectarse de manera repetitiva a una página web para sobrecargarla e impedir que funcione de manera correcta como el que hace poco sufrieron compañías como Twitter, Spotify o Ebay.
    3. Vinculación con lo que ocurre en la red. Cuando contratamos una conexión a Internet nuestro proveedor vincula la dirección IP que tengamos en ese momento con el nombre del titular, de la misma manera que un número de teléfono está vinculado a su suscriptor. Cualquier acción, ilegal o no, que se lleve a cabo desde nuestra red estará asociada directamente con el titular de la línea, es decir, con nosotros, y aunque se demuestre que hubo alguna intrusión en nuestro sistema, puede generarnos algún quebradero de cabeza.
    4. Infectar los dispositivos con malware. Alguien que acceda a nuestra red podría instalar malware en alguno de los dispositivos conectados a la misma.
    5. Disminución del ancho de banda. Las conexiones tienen una capacidad determinada, el denominado ancho de banda, que se reparte entre los dispositivos que estén conectados, de forma que cuantos más equipos se conecten más lento será el intercambio de información, pudiendo llegando a ser imposible usar Internet: las páginas web tardan demasiado en cargar o los vÍdeos de YouTube no se pueden visualizar con normalidad. Incluso dependiendo del número de intrusos y del uso que hagan de nuestra red podemos llegar perder la conexión.

Configuración del router

Para acceder a la configuración del router lo primero que hay que hacer es conocer cuál es la IP interna que nos permitirá acceder, normalmente coincide con lo que se denomina “Puerta de enlace”. La puerta de enlace es una dirección IP que utilizan los dispositivos de nuestra red privada como pasarela para acceder a Internet.

Para saber qué puerta de enlace utilizamos en Windows, independientemente de que utilicemos Windows 7, 8 ó 10, accedemos al “Panel de control” > “Redes e Internet”.

En la nueva ventana que se abrirá seleccionamos “Centro de redes y recursos compartidos”.

A continuación seleccionamos el enlace “Conexión de área local”.

En esta nueva ventana seleccionamos el botón “Detalles”. En la nueva ventana que se abrirá se encuentra la propiedad “Puerta de enlace predeterminada IPv4” y a su derecha un valor que será nuestra puerta de enlace.

Otra forma de conocer cuál es la puerta de enlace es por medio del intérprete de comandos. Para ello utilizamos la combinación de teclas “Windows + R”, y escribimos “cmd”, a continuación presionamos la tecla “Intro”.

En la nueva ventana de comandos que se abrirá escribimos “ipconfig”, sin comillas. Entre todos los datos que se muestran se encuentra nuestra puerta de enlace predeterminada.

Una vez que sabemos cuál es nuestra puerta de enlace, es decir la IP del router, abrimos un navegador web y la escribimos en la barra de direcciones. Se abrirá una ventana en la que se nos solicita el usuario y la contraseña para acceder a la configuración del router. Estas credenciales, si no han sido modificadas, suelen estar en una pegatina en el propio router o en el manual de usuario. Al introducir la información correcta accederemos a la configuración de nuestro dispositivo.

Puesto que existe una gran variedad de modelos de routers y cada uno de ellos tiene un entorno de configuración propio, las opciones de seguridad pueden mostrarse de maneras diferentes pero todas las configuraciones que describimos a continuación están disponibles en la mayoría de los routers. Para establecer los parámetros comprueba en el manual de tu router la sección dónde se encuentran dentro de la página de configuración.

MEDIDAS DE SEGURIDAD BÁSICAS

  • Modificar el nombre de la red wifi o (SSID): Todas las redes cuentan con un nombre o SSID por defecto con el que se puede identificar el proveedor de Internet que tenemos contratado y/o al fabricante del router que tengamos instalado. Utilizando esta información un atacante podría llegar a saber cuál es la contraseña de acceso a la red wifi. Debemos sustituir el SSID por uno con el que no se pueda asociar a nuestro proveedor de Internet o fabricante.
  • Contraseña de acceso a la página de administración del router: La contraseña de acceso por defecto es muy fácil de adivinar en la mayoría de routers ya que suele ser “admin” o “1234”. Proteger el acceso al panel de administración con una contraseña robusta evitará que alguien sin permiso pueda modificar la configuración de nuestro router a su antojo.
  • Cifrado y contraseña de la red wifi: Los router pueden ser configurados para que implementen distintos cifrados (WEP, WPA, WPA2) pero en la actualidad el más robusto y el que tenemos que habilitar en nuestro router es el cifrado WPA2-PSK. Puede darse el caso que algún dispositivo no sea compatible con este cifrado por lo que habría que habilitar el cifrado mixto WPA/WPA2-PSK.

    El cifrado que nunca debemos tener en nuestra red wifi es el WEP, ya que con las herramientas y conocimientos adecuados se puede llegar a conseguir la clave de acceso a la red wifi en un par de minutos. La contraseña de nuestra red wifi debe ser robusta y nunca tiene que incluir parcial o totalmente el nombre de la red SSID. Esta contraseña tiene que tener una longitud mínima de 12 caracteres e incluir mayúsculas, minúsculas, números y símbolos. Cuanto mayor sea la longitud de la contraseña más difícil será que un atacante pueda descubrirla.
  • Desactivar WPS: WPS es un mecanismo creado para facilitar la conexión de nuevos dispositivos a nuestra red wifi mediante un código de PIN de 8 dígitos. Teniendo esta opción habilitada estamos facilitando a un atacante una nueva puerta de acceso a nuestro router. Esta funcionalidad siempre tiene que estar deshabilitada.
  • Habilitar el filtrado por dirección MAC: Habilitando esta opción se consigue que únicamente puedan acceder a nuestra red los equipos con una determinada dirección MAC previamente declarada que normalmente serán los que tengamos en nuestro domicilio. La dirección MAC funciona como un identificador único para cada dispositivo por lo que si alguien consigue la contraseña de acceso a nuestra red no podrá conectarse si no sabe también qué direcciones MAC están permitidas.

    Para conocer nuestra dirección MAC de nuestro PC en Windows, accede a un intérprete de comandos MS-DOS como mostramos anteriormente y escribe “ipconfig /all” sin las comillas. En el apartado dirección física se encuentra la dirección MAC de nuestro dispositivo.




    En Android accede a “Ajustes” > “Acerca del teléfono” > “Estado”. En el apartado dirección MAC de Wi-Fi se encuentra la dirección Mac de nuestro Android.
  • Deshabilitar la administración remota: La administración remota sirve para que podamos configurar nuestro router fuera de nuestra red privada como por ejemplo desde la red wifi del domicilio de un familiar. Esta opción es conveniente tenerla deshabilitada ya que de esta forma evitamos que alguien pueda conectarse a nuestro router desde Internet.
  • Apagar el router cuando no se use: En rangos horarios en los que no vayamos a utilizar nuestra conexión a Internet, o en periodos de tiempo en los que no nos encontremos en casa, podemos apagar el router y garantizar que nadie se conectará.
  • Control de los equipos de nuestra red: Tener bajo control los equipos que acceden a nuestra red es una de las formas más simples y útiles de saber si alguien está accediendo sin consentimiento.

Existen varias formas de comprobar si tenemos un “invitado” en nuestra red:

  1. Los router cuentan con una opción en la que muestran los dispositivos conectados a la red. Accediendo a esta sección de la página de configuración podemos conocer un listado de los dispositivos conectados en tiempo real.

  2. Herramientas para Windows como Wireless Network Watcher nos muestran el estado de la red y los dispositivos conectados.

  3. Otra forma relativamente cómoda y fácil es utilizar una app para nuestro smartphone que monitorice el estado de la red. Algunas app, como Fing, también aportan esta información de una forma muy sencilla.

COMO SABER SI NUESTRO ROUTER TIENE MALWARE Y CÓMO EVITARLO

La seguridad de los routers que tenemos en la mayoría de nuestras casas es bastante deficiente y de ahí que aquellos con peores intenciones se estén aprovechando de ello para atacar a una gran cantidad de routers. Aunque nos parezca mentira el mundo de los routers es similar al de los smartphones con la diferencia de que los fabricantes de routers siguen fabricando una gran cantidad de modelos que en ningún momento son actualizados y por lo que quedan expuestos a que sean atacados fácilmente.

Estos atacantes lo que hacen a menudo es tratar de cambiar los DNS de la configuración del servidor del router para que apunten a un servidor DNS malicioso para que cuando el usuario se conecte a un sitio web donde se debe indicar información confidencial importante, como la página web de su banco, este servidor le redirigirá a un sitio de phising que aparentemente sea idéntico al de su banco .

La dirección que se muestra en la barra de dirección puede ser que se muestre con el mismo nombre que la web oficial de su banco, pero por el contrario si nos fijamos bien ésta no tendrá cifrado HTTPS y seguramente no responda a todas las consultas disponibles en el sitio oficial del banco. Al resto, es probable que lo haga de manera lenta, puesto que el DNS malicioso redirigirá las consultas a su DNS por defecto, un síntoma claro de que nuestra conexión puede estar infectada.

Este tipo de ataques también se pueden detectar por la inyección de anuncios en nuestras páginas visitadas, redireccionamientos en resultados de búsquedas o la solicitud de instalar descargas no autorizadas. Otra de las formas de atacar a nuestros routers es mediante el uso de cross-site o solicitud de falsificación (CSRF). De esta manera, un atacante incrusta código JavaScript malicioso en una página web que intentará cambiarla configuración del router, ya que a medida que se ejecuta el código en un dispositivos dentro de la red local, éste puede acceder a la interfaz web que sólo está disponible dentro de la red. Y es que muchos de los routers mantienen sus interfaces de administración con los nombres de usuarios y contraseñas con los que cuentan por defecto y que tan fáciles resultan de obtener.

Malware detectados

Que el FBI lance una alerta a nivel mundial en la que avise sobre un peligroso virus de tipo malware, (VPNFilter), que estaría afectando a más de medio millón de routers es un claro síntoma de que no estamos ante otro malware cualquiera. 

Como en cualquier película donde los malos son muy malos, VPNFilter buscaba dominar el mundo. En este caso, el de internet. Y lo podría hacer controlando ese ejército de medio millón de routers infectados, dispuestos a cumplir las órdenes de los ciberdelincuentes ya fuera de manera silenciosa (robando contraseñas, datos, etc.) o de manera activa, atacando webs e incluso otros software estratégicos.

 Esto es justo lo que ha pasado con la aparición de VPNFilter, un 'malware' que ha hecho saltar las alarmas en todo el mundo. Tras descubrirlo Cisco a través de su grupo de investigación, Talos, el FBI lanzó este fin de semana un comunicado avisando del peligro de este programa malicioso —creado (presuntamente por ‘hackers’ rusos) para robar datos de todo tipo de ‘modems’— que ya cuenta con más de 500.000 afectados. Explicaban, además, qué debías hacer para evitar que se instalara en tu ordenador. Pero la cosa se empezó a torcer con la primera línea del comunicado en la que la agencia comentaba los pasos que debían seguir todos los afectados.

En ella, el FBI pedía a los usuarios que hicieran un ‘reboot’ de sus dispositivos, algo que muchos medios tradujeron como un simple reinicio, es decir, apagar y encender.

La solución, pasa por buscar un pequeño botón que tienen todos los ‘routers’ en su parte trasera, al cual solo se llega con un clip o algo similar, presionarlo durante varios segundos y provocar un reseteo total del dispositivo que lo lleve a su configuración de fábrica. “Es la única forma de limpiar por completo la memoria del ‘modem’ y borrar el virus”, en este caso.

 

Un ejemplo de dónde suele estar el botón Reset.

Una vez realizado ese proceso, deberás iniciar sesión en la página administrativa del fabricante del ‘modem’ para poder conseguir la nueva configuración y, de paso, actualizar el ‘firmware’ del mismo y cambiar la contraseña para evitar más virus . Eso sí, antes tendrás que tener claro quién es el dueño del ‘router’, pues en España muchos pertenecen directamente a las operadoras y no a los propios fabricantes y son estas las que deben responder ante estos problemas en el 'software'.

COMO OS PODEMOS AYUDAR DESDE CIBERNOS

Cibernos ha creado una familia de servicios que cubren todos los aspectos legales, de procesos y de tecnología que una empresa necesita para garantizar una operación de sus sistemas de información de un modo seguro.

Esta familia de servicios incluye: 

  • Redes e infraestructuras.
  •  Infraestructuras WIFI seguras.
  • Virtualización y servidores virtuales.
  • Inteligencia de red.
  • Seguridad perimetral y de puesto de trabajo.
  • Seguridad en el correo electrónico, en sistemas WEB, dispositivos móviles, bases de datos, etc.
  • PKI, Firma electrónica, gestión de identidades.
  • Gestión de permisos de acceso a información DLP / IRM.