{"id":14424,"date":"2019-04-24T10:12:09","date_gmt":"2019-04-24T16:12:09","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14424"},"modified":"2020-04-02T05:36:33","modified_gmt":"2020-04-02T11:36:33","slug":"hacked-routers-dns-hijacking","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/14424\/","title":{"rendered":"Phishing desatado: razones por las que debes actualizar tu router"},"content":{"rendered":"

La amenaza actual m\u00e1s com\u00fan sigue siendo la misma: el phishing<\/em><\/a>, pero con una nueva versi\u00f3n que utiliza el router<\/em> y que no requiere que muerdas el anzuelo en un correo electr\u00f3nico falso. De hecho, las normas de seguridad m\u00e1s comunes<\/a> (evitar las redes de wifi p\u00fablicas, poner el cursor sobre los enlaces antes de seguirlos y dem\u00e1s) no te ayudar\u00e1n en esta situaci\u00f3n. A continuaci\u00f3n, vamos a echar un vistazo a las diferentes estrategias de phishing<\/em> relacionadas con el secuestro de routers<\/em>.<\/p>\n

\u00a0<\/p>\n

El secuestro del router<\/em><\/strong><\/h2>\n

Como norma general, un router<\/em> se puede hackear<\/em> de dos formas distintas y la primera se aprovecha del uso de las credenciales predeterminadas. Como ya sabr\u00e1s, cada router<\/em> cuenta con una contrase\u00f1a de administrador, pero no la que utilizas para conectarte a tu red wifi, sino la necesaria para iniciar sesi\u00f3n en el panel de administraci\u00f3n y cambiar la configuraci\u00f3n.<\/p>\n

Los usuarios pueden cambiar esta contrase\u00f1a, pero la mayor\u00eda optan por dejar la predeterminada por el proveedor, la opci\u00f3n m\u00e1s sencilla para los intrusos que pueden adivinarla o, incluso, buscarla en Google.<\/p>\n

El segundo m\u00e9todo consiste en aprovechar una vulnerabilidad en el firmware<\/em> del router<\/em> (los cuales abundan) que permita al cibercriminal tomar el control del dispositivo sin necesidad de introducir ninguna contrase\u00f1a.<\/p>\n

De una forma u otra, los cibercriminales pueden ejecutar su trabajo de forma remota, autom\u00e1tica y a gran escala. Una vez secuestrados, los routers<\/em> pueden ofrecer una serie de beneficios, pero en esta publicaci\u00f3n nos centraremos en este phishing<\/em> que es m\u00e1s dif\u00edcil de detectar.<\/p>\n

C\u00f3mo se utilizan los routers<\/em> secuestrados para el phishing<\/em><\/strong><\/h3>\n

Tras el secuestro, los atacantes modifican sus ajustes, pero se trata de un cambio muy peque\u00f1o e imperceptible. Tan solo alteran las direcciones de los servidores DNS que utiliza el router<\/em> para descifrar los nombres de dominio. Pero \u00bfqu\u00e9 significa todo esto? \u00bfPor qu\u00e9 es tan peligroso?<\/p>\n

El DNS (sistema de nombre de dominio, por sus siglas en ingl\u00e9s) es la base de Internet. Cuando introduces la direcci\u00f3n de un sitio web en la barra de direcciones del navegador, este no sabe realmente c\u00f3mo encontrarla, ya que los navegadores y los servidores web utilizan direcciones IP num\u00e9ricas y no los nombres de dominio que solemos utilizar los usuarios. Por tanto, el proceso es el siguiente:<\/p>\n

    \n
  1. El navegador env\u00eda una solicitud al servidor DNS.<\/li>\n
  2. El servidor DNS traduce la direcci\u00f3n del sitio web de un formato legible para los usuarios a su direcci\u00f3n IP num\u00e9rica y se la comunica al navegador.<\/li>\n
  3. Ahora el navegador ya sabe d\u00f3nde encontrar el sitio web y carga la p\u00e1gina por ti.<\/li>\n<\/ol>\n

    Todo sucede muy r\u00e1pido y sin que te des cuenta. Pero cuando secuestran tu router<\/em> y cambian las direcciones del servidor DNS, todas tus peticiones van directamente al servidor DNS controlado por los atacantes. En lugar de devolver la direcci\u00f3n IP del sitio que quieres visitar, el servidor malicioso devuelve una direcci\u00f3n IP falsa. Es decir, esta vez los cibercriminales no te enga\u00f1an a ti, sino al navegador para que cargue una p\u00e1gina web de phishing<\/em> y no el sitio que esperabas. Lo m\u00e1s preocupante es que tanto el navegador como t\u00fa creen que la p\u00e1gina es leg\u00edtima.<\/p>\n

    The Brazilian Job<\/em><\/strong>: una campa\u00f1a de phishing<\/em> con routers<\/em> secuestrados <\/strong><\/h3>\n

    En la \u00faltima ola de este tipo de ataques<\/a>, los cibercriminales han explotado los fallos de seguridad en los routers<\/em> D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech y TOTOLINK para comprometerlos y modificar sus ajustes de DNS. Por tanto, cada vez que los propietarios de los routers<\/em> secuestrados intentaban acceder a sus cuentas de banca online<\/em> o a los sitios web de proveedores de servicios, el servidor DNS bajo el control de los secuestradores los redirig\u00eda a p\u00e1ginas de phishing<\/em> dise\u00f1adas para robar sus credenciales.<\/p>\n

    Esta campa\u00f1a se ha dirigido principalmente a los usuarios brasile\u00f1os, recreando los sitios de instituciones financieras, bancos, alojamiento web y proveedores de computaci\u00f3n en la nube establecidos en Brasil.<\/p>\n

    Los secuestradores tambi\u00e9n atacaron a usuarios de algunos de los servicios m\u00e1s importantes en Internet, como PayPal, Netflix, Uber y Gmail.<\/p>\n

    \u00a0<\/strong>C\u00f3mo protegerte de esta nueva versi\u00f3n de phishing<\/em><\/strong><\/h3>\n

    Como ya hemos comentado anteriormente, este tipo de phishing<\/em> es pr\u00e1cticamente indetectable. No obstante, no tienes por qu\u00e9 perder la esperanza si sigues esta serie de consejos:<\/p>\n

      \n
    1. Inicia sesi\u00f3n en la interfaz web del router<\/em>, cambia las contrase\u00f1as predeterminadas e inhabilita la administraci\u00f3n remota y otros ajustes peligrosos<\/a>.<\/li>\n
    2. Las actualizaciones suelen solucionar las vulnerabilidades, por tanto, intenta actualizar el firmware<\/em> del router<\/em>. En algunos modelos las actualizaciones se realizan de forma autom\u00e1tica, pero en otros la instalaci\u00f3n debe ser manual. Busca en l\u00ednea la informaci\u00f3n del proveedor de tu router<\/em> para verificar si se encuentra actualizado.<\/li>\n
    3. Presta atenci\u00f3n a los detalles inusuales y a las ventanas emergentes inesperadas, incluso en los sitios web que m\u00e1s visitas. Intenta hacer clic en varias secciones del sitio, ya que es casi imposible que los cibercriminales recreen un sitio web completo y con total fidelidad, incluso en los casos en los que el dise\u00f1o de la p\u00e1gina de phishing<\/em> es sumamente profesional.<\/li>\n
    4. Antes de introducir tus credenciales (o cualquier tipo de informaci\u00f3n confidencial), aseg\u00farate de que las conexiones son seguras (comprueba que el principio de la URL sea https:\/\/<\/strong>) y verifica siempre que el nombre del certificado coincida con el nombre de la entidad. Para ello, haz clic en el s\u00edmbolo de candado que aparece en la barra de direcciones del navegador:\n
        \n
      • Con Internet Explorer o Edge ver\u00e1s la informaci\u00f3n del certificado que necesitas de inmediato.<\/li>\n
      • Con Mozilla, tendr\u00e1s que hacer clic en Conexi\u00f3n<\/em>.<\/li>\n
      • En Chrome, haz clic en el candado y despu\u00e9s en Certificado<\/em> > General<\/em> y verifica la informaci\u00f3n que aparece en Emitido por<\/em>.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n","protected":false},"excerpt":{"rendered":"

        Los cibercriminales secuestran routers para robar las credenciales de servicios y banca en l\u00ednea de sus due\u00f1os.<\/p>\n","protected":false},"author":2508,"featured_media":14425,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6],"tags":[3704,92,31,411,2829,19],"class_list":{"0":"post-14424","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-banca-en-linea","10":"tag-contrasenas","11":"tag-phishing","12":"tag-routers","13":"tag-secuestro-de-dns","14":"tag-wifi"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/14424\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacked-routers-dns-hijacking\/15685\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/13221\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/17599\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacked-routers-dns-hijacking\/15745\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacked-routers-dns-hijacking\/18340\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacked-routers-dns-hijacking\/17220\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacked-routers-dns-hijacking\/22671\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacked-routers-dns-hijacking\/5942\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/26802\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacked-routers-dns-hijacking\/12082\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacked-routers-dns-hijacking\/11758\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacked-routers-dns-hijacking\/10657\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacked-routers-dns-hijacking\/19078\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacked-routers-dns-hijacking\/23100\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacked-routers-dns-hijacking\/18323\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacked-routers-dns-hijacking\/22526\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacked-routers-dns-hijacking\/22463\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14424","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2508"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=14424"}],"version-history":[{"count":7,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14424\/revisions"}],"predecessor-version":[{"id":18220,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14424\/revisions\/18220"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/14425"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=14424"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=14424"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=14424"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}