{"id":22041,"date":"2021-06-02T15:19:35","date_gmt":"2021-06-02T21:19:35","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22041"},"modified":"2022-03-27T05:15:11","modified_gmt":"2022-03-27T11:15:11","slug":"rsa2021-hijacked-router","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/rsa2021-hijacked-router\/22041\/","title":{"rendered":"Enrutadores: el punto d\u00e9bil en la estrategia de teletrabajo"},"content":{"rendered":"

Desde una perspectiva de ciberseguridad, el peor aspecto del movimiento masivo al teletrabajo ha sido la p\u00e9rdida de control de los ambientes de red locales de las estaciones de trabajo. Los enrutadores caseros de los empleados representan un riesgo en especial, ya que, en esencia, reemplazaron la infraestructura de red que generalmente est\u00e1 a cargo de los especialistas de TI. En la Conferencia RSA 2021<\/a>, los investigadores Charl van der Walt y Wicus Ross informaron formas en las que los cibercriminales pueden atacar las computadoras de trabajo mediante los enrutadores, en la conferencia sobre c\u00f3mo abordar las amenazas a las que se enfrentan los empleados a distancia<\/a>.<\/p>\n

Por qu\u00e9 los enrutadores caseros son un problema grave<\/h2>\n

Incluso si las pol\u00edticas de seguridad corporativa cubrieran la actualizaci\u00f3n del sistema operativo de todas las computadoras de trabajo, as\u00ed como el resto de las configuraciones relevantes, los enrutadores caseros seguir\u00edan estando m\u00e1s all\u00e1 del control de los administradores de sistemas. Con respecto a los ambientes de teletrabajo, TI no puede saber qu\u00e9 otros dispositivos est\u00e1n conectados a una red, o si el firmware<\/em> del enrutador est\u00e1 actualizado, o si la contrase\u00f1a es segura (o incluso si el usuario cambi\u00f3 la contrase\u00f1a predeterminada de f\u00e1brica).<\/p>\n

Esta falta de control es solo parte del problema. Varios enrutadores caseros y SOHO tienen vulnerabilidades conocidas que los cibercriminales pueden explotar para obtener el control completo del dispositivo, lo que resultar\u00eda en botnets IoT como Mirai<\/a>, el cual combina decenas, y a veces cientos, de miles de enrutadores secuestrados para diversos fines.<\/p>\n

A este respecto, cabe recordar que cada enrutador es, b\u00e1sicamente, una computadora peque\u00f1a, que ejecuta alg\u00fan tipo de distribuci\u00f3n de Linux. Los cibercriminales pueden lograr muchas cosas una vez que secuestran un enrutador. Estos son algunos ejemplos sacados del informe de los investigadores.<\/p>\n

Secuestrar una conexi\u00f3n VPN<\/h2>\n

Las empresas utilizan una VPN (red privada virtual) como la herramienta principal para compensar los ambientes de red poco confiables de sus empleados. Las VPN ofrecen un canal cifrado mediante el cual los datos viajan entre la computadora y la infraestructura corporativa.<\/p>\n

Muchas empresas utilizan VPN en modo de t\u00fanel dividido: <\/em>el tr\u00e1fico a los servidores de la empresa, como mediante una conexi\u00f3n RDP (protocolo de escritorio remoto), pasa por la VPN; el resto del tr\u00e1fico pasa por la red p\u00fablica no cifrada, que en general est\u00e1 bien. Sin embargo, si un cibercriminal controla el enrutador puede crear una ruta DHCP (protocolo de configuraci\u00f3n din\u00e1mica de host) y redirigir el tr\u00e1fico del RDP a su propio servidor. Si bien no lo acerca a descifrar la VPN, s\u00ed puede crear una pantalla de inicio de sesi\u00f3n falsa para interceptar las credenciales de conexi\u00f3n al RDP. A los estafadores de ransomware<\/em> les encanta usar el RDP<\/a>.<\/p>\n

Cargar un sistema operativo externo<\/h2>\n

Otro escenario astuto para una ataque con un enrutador secuestrado implica explotar la funci\u00f3n PXE (entorno de ejecuci\u00f3n de prearranque). Los adaptadores de red modernos utilizan el PXE para cargar un sistema operativo en las computadoras por medio de la red. Por lo general, esta funci\u00f3n est\u00e1 desactivada, pero algunas empresas lo utilizan, por ejemplo, para restaurar de manera remota el sistema operativo de un empleado en caso de falla.<\/p>\n

Un cibercriminal que controla el servidor DHCP en un enrutador puede proporcionar una direcci\u00f3n de un sistema modificado al adaptador de red de la estaci\u00f3n de trabajo, a fin de ejercer control remoto. Es poco probable que los empleados se den cuenta, ni mucho menos que sepan qu\u00e9 est\u00e1 pasando (especialmente si est\u00e1n distra\u00eddos con las notificaciones de instalaci\u00f3n de actualizaciones). Mientras tanto, los cibercriminales tienen libre acceso al sistema de archivos.<\/p>\n

C\u00f3mo protegerse<\/h2>\n

Para proteger las computadoras de los empleados de los ataques ya mencionados y de otros, toma estas medidas:<\/p>\n