Es un hecho que el cibercrimen evoluciona cada día y, pese al esfuerzo de los especialistas por mantenerse actualizados, la inteligencia y habilidad de los delincuentes digitales está en constante actividad para generar nuevas amenazas.
Una de las que han crecido en número de víctimas desde 2012 hasta hoy es el robo de dinero aprovechando las vulnerabilidades del router, el dispositivo que permite tener una red wi-fi o inalámbrica en una casa, lugar de trabajo o incluso zonas públicas (como en algunas estaciones de Metro).
Los casos han crecido exponencialmente en los últimos años: en 2012, 4,5 millones de dispositivos se vieron comprometidos en un ataque remoto en Brasil a través de esta modalidad.
Uno de los casos más conocidos también ocurrió en el gigante sudamericano, donde a una mujer le robaron de su cuenta bancaria 2.800 reales (cerca de 900 dolares) en septiembre de 2014. El robo fue posible porque su proveedor de internet fue atacado, redireccionando a los clientes a páginas falsas por unos días.
¿Cómo funciona?
El router que nos provee de internet está conectado a un módem. A su vez, éste está conectado a un servidor DNS, que es el encargado de traducir las direcciones IP (la identidad del computador) en nombres de dominio. Por esa razón podemos visitar el sitio www.google.com, en lugar de digitar la IP 8.8.8.8. Todos los computadores conectados a la red poseen DNS.
Este DNS puede ser atacado por un hacker, utilizando sus vulnerabilidades de varias formas. Una de las más comunes es cuando el cibercriminal redirige al usuario a un servidor DNS falso, con lo cual controla los registros de tráfico y recoge material sensible, como contraseñas y credenciales.
Fabio Assolini, investigador senior del Equipo Global de Analistas de Kaspersky Lab, explicó que “si la victima mantiene el router con las contraseñas por defecto, o ninguna contraseña, el ataque será rápido y silencioso, el DNS será cambiado y la victima no lo sabrá. Si el router tiene otra contraseña diferente, entonces aparecerá un aviso pidiendo que el usuario informe la contraseña. Si no lo hace, entonces el ataque no se completa”.
Responsabilidad de los proveedores
Los proveedores de internet tienen, muchas veces, responsabilidad en los ataques que reciben los usuarios, al ofrecer a sus clientes routers viejos que tienen fallas de seguridad.
Muchas veces, para ahorrar dinero, los clientes compran routers desactualizados y vulnerables, cuyos fabricantes no distribuyen las actulizaciones de seguridad necesarias.
También hay ataques contra los proveedores de internet con DNS “poisoning”, cuando el comprometido es el DNS del proveedor. “El criminal ataca el proveedor directamente, secuestrando del DNS por un período corto de tiempo y así redireccionando el tráfico a páginas falsas de bancos, tarjetas, etc.”, explica el experto de Kaspersky.
Según Assolini, los usuarios tienen todo el derecho de exigir a los proveedores de internet “que cuiden la seguridad de sus servidores de DNS. Los clientes tienen la mejor herramienta para presionarlos a ofrecer una mejor seguridad: su subscripción mensual, el dinero que pagan por su conexión. Si nadie lo exige, los proveedores continuarán ofreciendo servicios inseguros”.
¿Cómo prevenir?
Lo principal en frente a este tipo de amenaza es la desconfianza y la prevención. Lo que se debe evitar es que el hacker pueda cambiar el DNS y redireccionarnos a un servidor falso. Muchos sitios a los que queremos acceder piden la clave del router. Si el usuario tiene una clave insegura, la puerta está prácticamente abierta.
Por eso es muy importante cambiar la contraseña por defecto que trae el router, pues si el usuario no pone cierto nivel de dificultad al primer intento del ciber atacante puede cambiar automáticamente el DNS y el internauta no se enterará.
Mantener los dispositivos actualizados con la versión más reciente del firmware oficial también es importante.
También es necesario contar con una protección de seguridad que identifique intentos por cambiar el DNS y alerte al usuario.
Es un hecho que el cibercrimen evoluciona cada día y, pese al esfuerzo de los especialistas por mantenerse actualizados, la inteligencia y habilidad de los delincuentes digitales está en constante actividad para generar nuevas amenazas.
Una de las que han crecido en número de víctimas desde 2012 hasta hoy es el robo de dinero aprovechando las vulnerabilidades del router, el dispositivo que permite tener una red wi-fi o inalámbrica en una casa, lugar de trabajo o incluso zonas públicas (como en algunas estaciones de Metro).
Los casos han crecido exponencialmente en los últimos años: en 2012, 4,5 millones de dispositivos se vieron comprometidos en un ataque remoto en Brasil a través de esta modalidad.
Uno de los casos más conocidos también ocurrió en el gigante sudamericano, donde a una mujer le robaron de su cuenta bancaria 2.800 reales (cerca de 900 dolares) en septiembre de 2014. El robo fue posible porque su proveedor de internet fue atacado, redireccionando a los clientes a páginas falsas por unos días.
¿Cómo funciona?
El router que nos provee de internet está conectado a un módem. A su vez, éste está conectado a un servidor DNS, que es el encargado de traducir las direcciones IP (la identidad del computador) en nombres de dominio. Por esa razón podemos visitar el sitio www.google.com, en lugar de digitar la IP 8.8.8.8. Todos los computadores conectados a la red poseen DNS.
Este DNS puede ser atacado por un hacker, utilizando sus vulnerabilidades de varias formas. Una de las más comunes es cuando el cibercriminal redirige al usuario a un servidor DNS falso, con lo cual controla los registros de tráfico y recoge material sensible, como contraseñas y credenciales.
Fabio Assolini, investigador senior del Equipo Global de Analistas de Kaspersky Lab, explicó que “si la victima mantiene el router con las contraseñas por defecto, o ninguna contraseña, el ataque será rápido y silencioso, el DNS será cambiado y la victima no lo sabrá. Si el router tiene otra contraseña diferente, entonces aparecerá un aviso pidiendo que el usuario informe la contraseña. Si no lo hace, entonces el ataque no se completa”.
Responsabilidad de los proveedores
Los proveedores de internet tienen, muchas veces, responsabilidad en los ataques que reciben los usuarios, al ofrecer a sus clientes routers viejos que tienen fallas de seguridad.
Muchas veces, para ahorrar dinero, los clientes compran routers desactualizados y vulnerables, cuyos fabricantes no distribuyen las actulizaciones de seguridad necesarias.
También hay ataques contra los proveedores de internet con DNS “poisoning”, cuando el comprometido es el DNS del proveedor. “El criminal ataca el proveedor directamente, secuestrando del DNS por un período corto de tiempo y así redireccionando el tráfico a páginas falsas de bancos, tarjetas, etc.”, explica el experto de Kaspersky.
Según Assolini, los usuarios tienen todo el derecho de exigir a los proveedores de internet “que cuiden la seguridad de sus servidores de DNS. Los clientes tienen la mejor herramienta para presionarlos a ofrecer una mejor seguridad: su subscripción mensual, el dinero que pagan por su conexión. Si nadie lo exige, los proveedores continuarán ofreciendo servicios inseguros”.
¿Cómo prevenir?
Lo principal en frente a este tipo de amenaza es la desconfianza y la prevención. Lo que se debe evitar es que el hacker pueda cambiar el DNS y redireccionarnos a un servidor falso. Muchos sitios a los que queremos acceder piden la clave del router. Si el usuario tiene una clave insegura, la puerta está prácticamente abierta.
Por eso es muy importante cambiar la contraseña por defecto que trae el router, pues si el usuario no pone cierto nivel de dificultad al primer intento del ciber atacante puede cambiar automáticamente el DNS y el internauta no se enterará.
Mantener los dispositivos actualizados con la versión más reciente del firmware oficial también es importante.
También es necesario contar con una protección de seguridad que identifique intentos por cambiar el DNS y alerte al usuario.
Compartir esto: