Desde una perspectiva de ciberseguridad, el peor aspecto del movimiento masivo al teletrabajo ha sido la pérdida de control de los ambientes de red locales de las estaciones de trabajo. Los enrutadores caseros de los empleados representan un riesgo en especial, ya que, en esencia, reemplazaron la infraestructura de red que generalmente está a cargo de los especialistas de TI. En la Conferencia RSA 2021, los investigadores Charl van der Walt y Wicus Ross informaron formas en las que los cibercriminales pueden atacar las computadoras de trabajo mediante los enrutadores, en la conferencia sobre cómo abordar las amenazas a las que se enfrentan los empleados a distancia.
Por qué los enrutadores caseros son un problema grave
Incluso si las políticas de seguridad corporativa cubrieran la actualización del sistema operativo de todas las computadoras de trabajo, así como el resto de las configuraciones relevantes, los enrutadores caseros seguirían estando más allá del control de los administradores de sistemas. Con respecto a los ambientes de teletrabajo, TI no puede saber qué otros dispositivos están conectados a una red, o si el firmware del enrutador está actualizado, o si la contraseña es segura (o incluso si el usuario cambió la contraseña predeterminada de fábrica).
Esta falta de control es solo parte del problema. Varios enrutadores caseros y SOHO tienen vulnerabilidades conocidas que los cibercriminales pueden explotar para obtener el control completo del dispositivo, lo que resultaría en botnets IoT como Mirai, el cual combina decenas, y a veces cientos, de miles de enrutadores secuestrados para diversos fines.
A este respecto, cabe recordar que cada enrutador es, básicamente, una computadora pequeña, que ejecuta algún tipo de distribución de Linux. Los cibercriminales pueden lograr muchas cosas una vez que secuestran un enrutador. Estos son algunos ejemplos sacados del informe de los investigadores.
Secuestrar una conexión VPN
Las empresas utilizan una VPN (red privada virtual) como la herramienta principal para compensar los ambientes de red poco confiables de sus empleados. Las VPN ofrecen un canal cifrado mediante el cual los datos viajan entre la computadora y la infraestructura corporativa.
Muchas empresas utilizan VPN en modo de túnel dividido: el tráfico a los servidores de la empresa, como mediante una conexión RDP (protocolo de escritorio remoto), pasa por la VPN; el resto del tráfico pasa por la red pública no cifrada, que en general está bien. Sin embargo, si un cibercriminal controla el enrutador puede crear una ruta DHCP (protocolo de configuración dinámica de host) y redirigir el tráfico del RDP a su propio servidor. Si bien no lo acerca a descifrar la VPN, sí puede crear una pantalla de inicio de sesión falsa para interceptar las credenciales de conexión al RDP. A los estafadores de ransomware les encanta usar el RDP.
Cargar un sistema operativo externo
Otro escenario astuto para una ataque con un enrutador secuestrado implica explotar la función PXE (entorno de ejecución de prearranque). Los adaptadores de red modernos utilizan el PXE para cargar un sistema operativo en las computadoras por medio de la red. Por lo general, esta función está desactivada, pero algunas empresas lo utilizan, por ejemplo, para restaurar de manera remota el sistema operativo de un empleado en caso de falla.
Un cibercriminal que controla el servidor DHCP en un enrutador puede proporcionar una dirección de un sistema modificado al adaptador de red de la estación de trabajo, a fin de ejercer control remoto. Es poco probable que los empleados se den cuenta, ni mucho menos que sepan qué está pasando (especialmente si están distraídos con las notificaciones de instalación de actualizaciones). Mientras tanto, los cibercriminales tienen libre acceso al sistema de archivos.
Cómo protegerse
Para proteger las computadoras de los empleados de los ataques ya mencionados y de otros, toma estas medidas:
- Elige túnel forzado en lugar de túnel dividido. Muchas soluciones de VPN corporativas permiten el túnel forzado con excepciones (el modo predeterminado es pasar todo el tráfico por un canal cifrado, donde se permite que recursos específicos eviten la VPN).
- Deshabilita el entorno de ejecución de prearranque en las configuraciones de BIOS.
- Cifra por completo el disco duro de la computadora mediante cifrado de disco completo (con BitLocker en Windows, por ejemplo).
Es vital priorizar la seguridad de los enrutadores de los empleados para aumentar el nivel de seguridad de cualquier infraestructura corporativa que incluya trabajo en modo remoto o híbrido. En algunas empresas, el personal de soporte técnico consulta con los empleados las configuraciones óptimas para su enrutador casero. Otras empresas entregan enrutadores preconfigurados para los empleados a distancia, y se les permite conectarse a los recursos corporativos solo mediante estos enrutadores. Asimismo, capacitar a los empleados para contrarrestar las amenazas modernas es esencial para la seguridad de la red.