La mayoría de los enrutadores domésticos se encuentran en un rincón, ignorados, y eso es exactamente con lo que contaba la unidad de inteligencia militar de Rusia. El grupo GRU conocido como APT28, responsable de algunos de los ataques más importantes patrocinados por el estado de la última década, pasó años explotando esa negligencia, abriéndose paso en miles de enrutadores domésticos y de pequeñas oficinas en 23 estados de EE. UU. y utilizando el acceso para interceptar el tráfico, robar credenciales y construir una red en la sombra de dispositivos comprometidos. Un aviso federal conjunto emitido el 7 de abril describió el alcance del ataque y la operación autorizada por el tribunal que lo interrumpió. También venía con instrucciones claras: hay cinco pasos que todo propietario de un enrutador debe seguir de inmediato.
El ataque tuvo como objetivo enrutadores de oficinas pequeñas o domésticas, también conocidos como enrutadores SOHO, y fue llevado a cabo por una unidad de la agencia de inteligencia militar rusa, el GRU. Las agencias gubernamentales instan a las personas a seguir pasos básicos de higiene del enrutador, como actualizar al firmware más reciente y cambiar las credenciales de inicio de sesión predeterminadas. El Centro Nacional de Seguridad Cibernética del Reino Unido incluye varios enrutadores TP-Link específicamente atacados por los piratas informáticos.
Si bien esa noticia suena bastante alarmante, vale la pena tener en cuenta que el ataque comprometió específicamente los enrutadores empresariales, por lo que su hogar enrutador wifi probablemente no esté en riesgo. Dicho esto, algunos de los enrutadores afectados pueden usarse como enrutadores domésticos estándar, por lo que vale la pena verificar si su modelo fue explotado en el ataque.
«Existe una gran tendencia a explotar los enrutadores hoy en día, y eso se aplica tanto al consumidor como a las empresas o enrutadores corporativos», dijo a CNET Daniel Dos Santos, vicepresidente de investigación de la empresa de ciberseguridad Forescout.
¿Qué tipo de ataque es este?
Un comunicado de prensa de la NSA señala que el ataque tuvo como objetivo indiscriminado un amplio conjunto de enrutadores, con el objetivo de recopilar información sobre «infraestructura militar, gubernamental y crítica».
Este ataque está vinculado a actores de amenazas dentro del GRU ruso, que se hacen llamar APT28, Fancy Bear, Forest Blizzard y otros nombres, y ha estado en curso desde al menos 2024, según el FBI.
Se conoce como operación de secuestro del sistema de nombres de dominio, en la que las solicitudes de DNS se interceptan cambiando las configuraciones de red predeterminadas en los enrutadores SOHO, lo que permite a los actores ver el tráfico de un usuario sin cifrar.
«Para actores de estados-nación como Forest Blizzard, el secuestro de DNS permite visibilidad y reconocimiento persistente y pasivo a escala», dice un informe de Microsoft Threat Intelligence sobre el ataque.
Microsoft identificó más de 200 organizaciones y 5000 dispositivos de consumo afectados por el ataque de GRU.
¿Qué enrutadores se vieron afectados?
El anuncio del FBI se refiere específicamente a un enrutador, el TP-Link TL-WR841N, un modelo Wi-Fi 4 que se lanzó originalmente en 2007. El Centro Nacional de Seguridad Cibernética del Reino Unido enumera 23 modelos de TP-Link que fueron atacados, pero señala que probablemente no sea exhaustivo.
Aquí está la lista de dispositivos afectados:
- Enrutador inalámbrico N LTE TP-Link MR6400
- Router Gigabit Inalámbrico De Doble Banda TP-Link Archer C5
- Router Gigabit Inalámbrico De Doble Banda TP-Link Archer C7
- Enrutador Gigabit Inalámbrico de Doble Banda TP-Link WDR3600
- Enrutador Gigabit Inalámbrico de Doble Banda TP-Link WDR4300
- Enrutador inalámbrico de doble banda TP-Link WDR3500
- Enrutador inalámbrico Lite N TP-Link WR740N
- Enrutador inalámbrico Lite N TP-Link WR740N/WR741ND
- Enrutador inalámbrico Lite N TP-Link WR749N
- Enrutador Inalámbrico N 3G/4G TP-Link MR3420
- Punto de Acceso Inalámbrico N TP-Link WA801ND
- Punto de Acceso Inalámbrico N TP-Link WA901ND
- Enrutador Gigabit Inalámbrico N TP-Link WR1043ND
- Enrutador Gigabit Inalámbrico N TP-Link WR1045ND
- Enrutador inalámbrico N TP-Link WR840N
- Enrutador inalámbrico N TP-Link WR841HP
- Enrutador inalámbrico N TP-Link WR841N
- Enrutador inalámbrico N TP-Link WR841N/WR841ND
- Enrutador inalámbrico N TP-Link WR842N
- Enrutador inalámbrico N TP-Link WR842ND
- Enrutador inalámbrico N TP-Link WR845N
- Enrutador inalámbrico N TP-Link WR941ND
- Enrutador inalámbrico N TP-Link WR945N
Un portavoz de TP-Link Systems dijo a CNET en un comunicado que todos los modelos afectados alcanzaron el estado de fin de servicio y vida útil hace varios años.
«Si bien estos productos están fuera de nuestro ciclo de vida de mantenimiento estándar, TP‑Link ha desarrollado actualizaciones de seguridad para modelos heredados seleccionados cuando sea técnicamente posible», dijo el portavoz.
TP-Link insta a las personas con estos enrutadores obsoletos a actualizar a un dispositivo más nuevo si es posible. Puede encontrar una lista de parches de seguridad disponibles en su página de avisos de seguridad que abordan el ataque reciente.
Cómo mantener seguro tu enrutador
La NSA remitió a las organizaciones a una lista de mejores prácticas para proteger su red doméstica. Lo más importante que puedes hacer si estás utilizando uno de los dispositivos afectados es actualizar tu enrutador lo antes posible. Probablemente no haya recibido actualizaciones de firmware en años, lo cual es como dejar la puerta de su red abierta.
«Cuanto más tiempo sigas haciendo eso, mayor será el riesgo», dijo Rik Ferguson, vicepresidente de inteligencia de seguridad de Forescout. «El enrutador se encuentra en una posición privilegiada dentro de cualquier red. Toda su comunicación, todo su tráfico, tiene que pasar a través de ese dispositivo».
Además de usar un dispositivo más nuevo que aún recibe actualizaciones de seguridad, existen algunos otros pasos que puedes seguir para bloquear tu red:
- Actualice su firmware periódicamente: Muchos dispositivos de red le permiten habilitar actualizaciones automáticas de firmware en la configuración. Si esta es una opción, recomiendo encarecidamente hacerlo. Si no es así, puede encontrar actualizaciones para su enrutador iniciando sesión en su interfaz web o usando su aplicación.
- Reinicia tu enrutador: La guía de la NSA recomienda reiniciar su enrutador, teléfono inteligente y computadoras al menos una vez a la semana. «Los reinicios regulares ayudan a retirar los implantes y garantizar la seguridad», dice la agencia.
- Cambiar nombres de usuario y contraseñas predeterminados: Una de las formas más comunes en que los piratas informáticos obtienen acceso es probando las credenciales de inicio de sesión predeterminadas establecidas por el fabricante. «Hay toda una economía sumergida detrás de todo eso», dice Ferguson. «Básicamente, simplemente recolectan credenciales, ya sea mediante ataques propios o almacenándolas de otras fuentes y comprándolas». Esta combinación de nombre de usuario y contraseña es diferente de su inicio de sesión de Wi-Fi, que también debe cambiarse aproximadamente cada seis meses. Cuanto más larga y aleatoria sea tu contraseña, mejor.
- Desactivar la gestión remota: La mayoría de los usuarios habituales no necesitan administrar de forma remota su enrutador Wi-Fi, y esta es una de las principales formas en que los actores de amenazas pueden cambiar la configuración de su enrutador sin su conocimiento. Normalmente puedes encontrar esta opción en tu configuración de administrador del enrutador.
- Utilice una VPN: El anuncio del FBI sobre el ataque recomienda específicamente que las organizaciones con trabajadores remotos usar una VPN al acceder a datos confidenciales. Estos servicios cifran su tráfico cuando pasa a través de un servidor remoto, manteniéndolo a salvo de los piratas informáticos.