![Ciberataque mundial]({"full":{"0":"2018\/05\/Blog-EMSE-32.png","1":880,"2":440,"3":false,"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/05\/Blog-EMSE-32.png"}})
Ciberataque mundial a la vista: reinicia tu router… O no
El FBI alertó de un ciberataque mundial masivo a través de los routers personales. El malware fue detectado por Cisco, multinacional lider en tecnología que ha hecho recomendaciones al respecto. Mientras, medio mundo ha entrado en pánico.
¡ALERTA! Ciberataque masivo, reinicien sus routers
Una alerta sin precedentes y con un alcance que puede considerarse masivo. El FBI ha detectado un ataque de hackers proveniente de Rusia mediante el cual se introduciría un malware que se apropiaría del router doméstico.
Las autoridades estadounidenses han identificado este malware como VPNFilter. Que tomaría el control de nuestro router para propagar ataques mundiales coordinados. Y por descontado, registrar toda la actividad en la red de los dispositivos conectados. La gravedad de este ataque es tal, que los hackers podrían anular por completo la conexión a Internet en zonas enteras. Y lo que resulta más preocupante, llevar a cabo ataques masivos a objetivos determinados.
Todavía no se conoce el alcance de este ciberataque mundial. Pero se estima que estarían afectados más de medio millón de routers domésticos en todo el planeta. Dada la configuración en red de este tipo de ataques, es de suponer que ese número se dispare exponencialmente por minutos.
Cómo se ejecuta el ciberataque mundial
El funcionamiento es el siguiente: un router afectado por VPNFilter se queda en modo aletargado. A la espera de recibir instrucciones de cara a llevar a cabo un ciberataque mundial coordinado contra un objetivo determinado por los hackers. Entre tanto, registraría toda la información proveniente de nuestra actividad en la red (sí, contraseñas también). Además, los investigadores que han identificado el hack han comprobado la existencia de un ‘botón letal’. Mediante el cual los atacantes podrían inutilizar definitivamente el dispositivo.
En una acción coordinada a gran escala, VPNFilter podría inutilizar la conexión a Internet en barrios o ciudades enteras, dada la gran cantidad de marcas afectadas. El FBI ha enumerado en un listado los equipos afectados por el ciberataque mundia. Pero ha avanzado que ello no quiere decir que aquellos que no aparezcan en la lista no estén afectados o sean susceptibles de ello. Entre las marcas de routers afectadas por el malware estarían Linksys, TP-Link y Netgear. Pero el FBI aconseja resetear cualquier router, aunque no sea de estas marcas.
Cómo actuar contra el ciberataque
¿Qué hacer en cualquier caso? Las autoridades recomiendan llevar a cabo algo muy simple. Reiniciar el router (desenchufar y volverlo a enchufar). con este paso se inutilizaría el malware en la mayoría de los casos, aunque tampoco hay garantías de ello.
Los expertos de Cisco, la firma que habría detectado en primera instancia el ciberataque mundial, van más allá en sus recomendaciones. Restablecer el dispositivo a la configuración de fábrica para asegurarse de que no queda rastro del malware. Esta medida es más definitiva, pero es poco recomendable. Sobre todo para aquellos que no cuenten con un elevado conocimiento en este tipo de equipos. Ya que nos obligará después de volver a configurar el router internamente. La gran mayoría de los routers los entrega el proveedor de Internet y vienen configurados de fábrica. Una medida adicional y que siempre resulta recomendable es cambiar la contraseña del panel de control que da acceso al router. Los expertos recomiendan, asimismo, asegurarse de que el router lleva ya la última versión del firmware.
Utilizar los routers para coordinar un ataque masivo
«Se trata de una de las mayores redes de dispositivos infectados descubiertos hasta la fecha por Cisco Talos. Nuestra división de inteligencia de ciberseguridad», aseguró esta compañía. Explicó que el atacante podría compartir datos entre los dispositivos y coordinar un ataque masivo. Utilizando los equipos como nodos. «Al incluir un interruptor de apagado, también podría destruir los equipos dejándolos inoperativos y eliminar el acceso a internet para cientos de miles de usuarios. Además de inspeccionar el tráfico y robar datos confidenciales», detalló Cisco. El país que ha sufrido el mayor pico de infecciones ha sido Ucrania.
Cisco aconsejó igualmente un reseteo total de los dispositivos que les lleve a su configuración de fábrica. Según ellos es la única fórmula que permite limpiar por completo la memoria del módem y que desaparezca el virus. Y actualizarlos con los últimos parches tan pronto como sea posible.
Por su parte, Iván Mateos, ingeniero preventa de la empresa de seguridad Sophos Iberia, ha recomendado contra el ciberataque mundial llevar a cabo una verificación de estado de los routers. Actualizar a la última versión y deshabilitar la gestión remota en los equipos que lo permitan. Mateos resalta cómo los routers se han convertido en la actualidad en un objetivo popular para los ciberdelincuentes. Sin embargo, a menudo se descuidan desde el punto de vista de la ciberseguridad. Por ello, reclama «todos debemos actualizar nuestros routers y utilizar contraseñas seguras».
La culpa es de Fancy Bear
Según la investigación policial, detrás del ataque parece estar el operativo Fancy Bear. El mismo que ha causado estragos en Estados Unidos desde hace años. Un grupo patrocinado desde los sistemas de inteligencia rusos que entre sus logros más reconocidos cuenta con el ataque al Partido Demócrata estadounidense en las elecciones de 2016. Y que acabó con documentos internos filtrados desde Wikileaks.
Otros grandes ataques asociados a Fancy Bear incluyen el hackeo de los sistemas del Comité Olímpico Internacional en 2018 en las olimpiadas de invierno de Pyongyang. Otros relativamente infructuosos a partidos políticos franceses y alemanes durante las últimas elecciones de ambos países. Así como a varios ministerios de Países Bajos durante 2017.
Los expertos contradicen al FBI
Expertos consultados por EL PAÍS califican la recomendación de reiniciar el router como “desesperada” porque la medida no soluciona el problema de fondo. “Reiniciar un router puede hacer que se vuelva a un estado previo al de su infección. Pero no lo protege contra una nueva”. Explica Fernando Suárez, vicepresidente del Consejo General de Colegios de Ingeniería Informática. El router es siempre un dispositivo “más vulnerable”, según este experto. Ya que suele comercializarse con la configuración de fábrica “y en entornos pequeños no están protegidos con herramientas como antivirus”.
En opinión de Lorenzo Martínez, especializado en seguridad informática y fundador de Securizame, está infección “es persistente”, por lo que “aunque lo reinicies no lograrás evitar tener comprometido el router”.
“No me cuadra mucho que el FBI dé esa solución. Supongo que es por aquellos routers que hayan sido comprometidos por una versión de ese malware o por otras variantes de este, que no lograban persistencia”. Sostiene en declaraciones a ABC. Sin embargo, puede darse el caso que el dispositivo de Red no haya sido comprometido de manera persistente. Un supuesto que se produce «cuando el malware que se instala resiste a los reinicios debido a que se copia en alguna parte del router, al arranque de este». A su juicio, “si se da la suerte que no llega a pasar esto, el router al arrancar no está comprometido”. Aunque puede darse el caso que no se haya instalado una actualización del software que solucione la vulnerabilidad. Este caso, explica, el simple hecho de estar expuesto a Internet “podrá ser comprometido nuevamente”.
Tergiversando el comunicado del FBI
A pesar de los titulares, el FBI no especificaba en su comunicado que reiniciar el dispositivo fuera una medida efectiva para acabar con el ciberataque mundial. Solo indicaba que reiniciar “interrumpiría temporalmente” el virus y haría más sencillo identificar los dispositivos encriptados. “Se recomienda a los propietarios que consideren la desactivación de la configuración de administración remota en los dispositivos y la seguridad con contraseñas seguras y cifrado cuando esté habilitado”. Proseguía el mensaje, recomendando también que se actualizase el dispositivo con las últimas actualizaciones disponibles. Un hecho que suele olvidarse porque no se suele operar directamente con este equipo.
Formación relacionada:
Emprende Seguridad te ofrece la formación que necesitas. Los cursos másteres y postgrados de la más alta vanguardia en Seguridad y Defensa. En Emprende Seguridad encontrarás la formación que buscabas. Ofertas académicas a tu medida con las que enfocar tu carrera y alcanzar el éxito profesional.
Descubre multitud de cursos para convertirte en Experto en Ciberseguridad. Por ejemplo el Máster en Dirección y Gestión de la Ciberseguridad dirigido a perfiles directivos que quieran planificar y gestionar todos los aspectos de la organización y desarrollar planes de ciberseguridad.
Fuentes:
https://elpais.com/tecnologia/2018/05/28/actualidad/1527511542_736752.html
https://cincodias.elpais.com/cincodias/2018/05/28/companias/1527531223_042430.html
http://www.lavanguardia.com/tecnologia/20180528/443915004053/vpnfilter-fancy-bear-routers.html
![El negocio de la Inseguridad- la presión de la Industria]({"jaw_blog-16_9-small":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/11\/El-negocio-de-la-Inseguridad-la-presio\u0301n-de-la-Industria-170x95.jpg","width":170},"jaw_blog-16_9-middle":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/11\/El-negocio-de-la-Inseguridad-la-presio\u0301n-de-la-Industria-270x152.jpg","width":270},"jaw_blog-16_9":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/11\/El-negocio-de-la-Inseguridad-la-presio\u0301n-de-la-Industria-475x267.jpg","width":475}})
![Privacidad de nuestros datos en internet- ¿mito o realidad?]({"jaw_blog-16_9-small":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/10\/Privacidad-de-nuestros-datos-en-internet-\u00bfmito-o-realidad-170x95.jpg","width":170},"jaw_blog-16_9-middle":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/10\/Privacidad-de-nuestros-datos-en-internet-\u00bfmito-o-realidad-270x152.jpg","width":270},"jaw_blog-16_9":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/10\/Privacidad-de-nuestros-datos-en-internet-\u00bfmito-o-realidad-475x267.jpg","width":475}})
![Seguridad en Hospitales- debilidades del sistema actual]({"jaw_blog-16_9-small":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/10\/Seguridad-en-Hospitales-debilidades-del-sistema-actual-170x95.jpg","width":170},"jaw_blog-16_9-middle":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/10\/Seguridad-en-Hospitales-debilidades-del-sistema-actual-270x152.jpg","width":270},"jaw_blog-16_9":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/10\/Seguridad-en-Hospitales-debilidades-del-sistema-actual-475x267.jpg","width":475}})
![El negocio de la Inseguridad- la presión de la Industria]({"jaw_blog-16_9-small":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/11\/El-negocio-de-la-Inseguridad-la-presio\u0301n-de-la-Industria-170x95.jpg","width":170},"jaw_blog-16_9-middle":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/11\/El-negocio-de-la-Inseguridad-la-presio\u0301n-de-la-Industria-270x152.jpg","width":270},"jaw_blog-16_9":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/11\/El-negocio-de-la-Inseguridad-la-presio\u0301n-de-la-Industria-475x267.jpg","width":475},"jaw_blog-16_9-big":{"file":"http:\/\/www.emprendeseguridad.com\/magazine\/wp-content\/uploads\/2018\/11\/El-negocio-de-la-Inseguridad-la-presio\u0301n-de-la-Industria-878x440.jpg","width":878}})