Primero fueron los servidores corporativos, después los ordenadores domésticos y ahora, los routers ADSL presentes en cada vez más hogares. Los creadores de código malicioso han descubierto en estos aparatos un nuevo objetivo. El hecho de que sean pequeños ordenadores, que estén siempre encendidos y poco protegidos los convierte en piezas fáciles y muy atractivas para el delincuente.
Las pasadas navidades, en México, se vivió lo que algunos expertos en seguridad temían: el primer caso real de modificación masiva de la configuración de routers domésticos para usarlos en estafas de phishing.
Aunque no hay datos de su alcance, se cree que fue muy rentable para los criminales, que lo han repetido en diversas oleadas en el país. La empresa Symantec afirma en su blog corporativo: "Ahora que se ha realizado por primera vez este ataque, habrá otros".
Symantec lo había predicho un año antes: un código malicioso podría, vía web o correo electrónico, tomar el control de un router doméstico. En el caso mexicano, se hizo por correo. No había que pinchar en ningún adjunto, sólo con visualizar el mensaje, en HTML, era suficiente. Éste contenía diversos comandos que, al ser interpretados por el programa de correo, cobraban vida y cambiaban la configuración del router.
El ataque iba dirigido a los routers 2wire, muy populares en México porque la operadora Telmex los regala a sus clientes, sin clave de acceso. Así, el código tenía paso franco para inyectar nuevas instrucciones al aparato, de forma que cuando la víctima teclease en su navegador la dirección del más importante banco mexicano, Banamex, el router la llevaría a otro sitio con la misma apariencia. Todos los datos que allí se introdujesen irían directos a los criminales.
Al ser un nuevo tipo de ataque, ningún antivirus lo detecta. Algunos afectados explican su caso en el blog de Virus Total, como Ileana: "He sido una de las ingenuas que abrió la tarjeta del gusanito; en un día me robaron tres veces".Los programas maliciosos que asaltan routers no son una novedad, explica Bernardo Quintero, de Hispasec Sistemas, pero hasta ahora no se habían usado para fraudes masivos.
"Un atacante puede, realizando un barrido por Internet, buscar una vulnerabilidad concreta en un router que le permita acceder a la red o redes que hay detrás de él, previsiblemente corporativas. Eso siempre ha existido, pero nunca se había hecho un ataque masivo dirigido al cliente final con un router doméstico", explica Quintero.
Lo atractivo de estos aparatos es que son pequeños ordenadores con un sistema operativo propio que permite configuraciones de alto nivel como redirigir el tráfico para que llegue al atacante, abrir una puerta en el router para acceder a los ordenadores que conectan a través de él, hacer ataques de denegación de servicio, hospedar contenidos.... Al estar siempre encendidos y tener contraseñas débiles o por defecto son de fácil acceso.
Los expertos coinciden en imaginar el próximo paso: un gusano que se autopropague de router a router, sin intervención humana. Sólo precisaría estar programado para atacar una marca popular y usar un ordenador como pasarela a través del cual entraría en el primer router, como ocurrió en México.
Una vez tomada esta posición, escanearía millones de direcciones IP a la búsqueda de otros aparatos vulnerables, en los que se introduciría automáticamente a través de Internet o por conexiones inalámbricas.
Un estudio de la Universidad de Indiana (Estados Unidos) destaca la especial vulnerabilidad de las conexiones inalámbricas, más inseguras porque no están protegidas o usan el sistema de cifrado WEP, fácilmente atacable de forma automatizada. Así, el gusano saltaría de un router a otro a través de las ondas aunque, a juicio de Quintero, "su vida de propagación sería muy limitada, a no ser que haya una concentración de routers de un mismo modelo en una área geográfica".
A nadie se le escapa que las redes de ordenadores zombies o botnets, la peor plaga en la actualidad, nacieron también primero en la imaginación de los investigadores, para hacerse fatalmente reales meses después. La única defensa contra los ataques a routers domésticos es cambiar las contraseñas que vienen por defecto y proteger sus conexiones inalámbricas con sistema WPA.
Para ello, hay que acceder al router desde el ordenador, tecleando en el navegador la dirección facilitada por el fabricante, o instalando los programas del CD que acompaña al aparato. Después de introducir el nombre de usuario y contraseña que indique el fabricante, aparece una interfaz con diferentes opciones, entre ellas cambiar la contraseña del router y acceder a las opciones Wireless.
Dentro de su menú hay un submenú, WPA. Se indica al router que active esta autenticación, con protocolo WPA-PSK, y se introduce la contraseña deseada para WPA, a ser posible de más de seis caracteres, que incluya tanto letras mayúsculas, como minúsculas y números.
