Phishing desatado: razones por las que debes actualizar tu router

La amenaza actual más común sigue siendo la misma: el phishing, pero con una nueva versión que utiliza el router y que no requiere que muerdas el anzuelo en un correo electrónico falso. De hecho, las normas de seguridad más comunes (evitar las redes de wifi públicas, poner el cursor sobre los enlaces antes de seguirlos y demás) no te ayudarán en esta situación. A continuación, vamos a echar un vistazo a las diferentes estrategias de phishing relacionadas con el secuestro de routers.

El secuestro del router

Como norma general, un router se puede hackear de dos formas distintas y la primera se aprovecha del uso de las credenciales predeterminadas. Como ya sabrás, cada router cuenta con una contraseña de administrador, pero no la que utilizas para conectarte a tu red wifi, sino la necesaria para iniciar sesión en el panel de administración y cambiar la configuración.

Los usuarios pueden cambiar esta contraseña, pero la mayoría optan por dejar la predeterminada por el proveedor, la opción más sencilla para los intrusos que pueden adivinarla o, incluso, buscarla en Google.

El segundo método consiste en aprovechar una vulnerabilidad en el firmware del router (los cuales abundan) que permita al cibercriminal tomar el control del dispositivo sin necesidad de introducir ninguna contraseña.

De una forma u otra, los cibercriminales pueden ejecutar su trabajo de forma remota, automática y a gran escala. Una vez secuestrados, los routers pueden ofrecer una serie de beneficios, pero en esta publicación nos centraremos en este phishing que es más difícil de detectar.

Cómo se utilizan los routers secuestrados para el phishing

Tras el secuestro, los atacantes modifican sus ajustes, pero se trata de un cambio muy pequeño e imperceptible. Tan solo alteran las direcciones de los servidores DNS que utiliza el router para descifrar los nombres de dominio. Pero ¿qué significa todo esto? ¿Por qué es tan peligroso?

El DNS (sistema de nombre de dominio, por sus siglas en inglés) es la base de Internet. Cuando introduces la dirección de un sitio web en la barra de direcciones del navegador, este no sabe realmente cómo encontrarla, ya que los navegadores y los servidores web utilizan direcciones IP numéricas y no los nombres de dominio que solemos utilizar los usuarios. Por tanto, el proceso es el siguiente:

1. El navegador envía una solicitud al servidor DNS.
2. El servidor DNS traduce la dirección del sitio web de un formato legible para los usuarios a su dirección IP numérica y se la comunica al navegador.
3. Ahora el navegador ya sabe dónde encontrar el sitio web y carga la página por ti.

Todo sucede muy rápido y sin que te des cuenta. Pero cuando secuestran tu router y cambian las direcciones del servidor DNS, todas tus peticiones van directamente al servidor DNS controlado por los atacantes. En lugar de devolver la dirección IP del sitio que quieres visitar, el servidor malicioso devuelve una dirección IP falsa. Es decir, esta vez los cibercriminales no te engañan a ti, sino al navegador para que cargue una página web de phishing y no el sitio que esperabas. Lo más preocupante es que tanto el navegador como tú creen que la página es legítima.

The Brazilian Job: una campaña de phishing con routers secuestrados

En la última ola de este tipo de ataques, los cibercriminales han explotado los fallos de seguridad en los routers D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech y TOTOLINK para comprometerlos y modificar sus ajustes de DNS. Por tanto, cada vez que los propietarios de los routers secuestrados intentaban acceder a sus cuentas de banca online o a los sitios web de proveedores de servicios, el servidor DNS bajo el control de los secuestradores los redirigía a páginas de phishing diseñadas para robar sus credenciales.

Esta campaña se ha dirigido principalmente a los usuarios brasileños, recreando los sitios de instituciones financieras, bancos, alojamiento web y proveedores de computación en la nube establecidos en Brasil.

Los secuestradores también atacaron a usuarios de algunos de los servicios más importantes en Internet, como PayPal, Netflix, Uber y Gmail.

 Cómo protegerte de esta nueva versión de phishing

Como ya hemos comentado anteriormente, este tipo de phishing es prácticamente indetectable. No obstante, no tienes por qué perder la esperanza si sigues esta serie de consejos:

1. Inicia sesión en la interfaz web del router, cambia las contraseñas predeterminadas e inhabilita la administración remota y otros ajustes peligrosos.
2. Las actualizaciones suelen solucionar las vulnerabilidades, por tanto, intenta actualizar el firmware del router. En algunos modelos las actualizaciones se realizan de forma automática, pero en otros la instalación debe ser manual. Busca en línea la información del proveedor de tu router para verificar si se encuentra actualizado.
3. Presta atención a los detalles inusuales y a las ventanas emergentes inesperadas, incluso en los sitios web que más visitas. Intenta hacer clic en varias secciones del sitio, ya que es casi imposible que los cibercriminales recreen un sitio web completo y con total fidelidad, incluso en los casos en los que el diseño de la página de phishing es sumamente profesional.
4. Antes de introducir tus credenciales (o cualquier tipo de información confidencial), asegúrate de que las conexiones son seguras (comprueba que el principio de la URL sea https://) y verifica siempre que el nombre del certificado coincida con el nombre de la entidad. Para ello, haz clic en el símbolo de candado que aparece en la barra de direcciones del navegador:
   • Con Internet Explorer o Edge verás la información del certificado que necesitas de inmediato.
   • Con Mozilla, tendrás que hacer clic en Conexión.
   • En Chrome, haz clic en el candado y después en Certificado > General y verifica la información que aparece en Emitido por.