Tecnología

Seguridad del router: por qué hackers estatales rusos apuntan a redes domésticas

Ars Technicahace 2 h
Un router inalámbrico con luces parpadeantes conectado a cables de red
Un router inalámbrico con luces parpadeantes conectado a cables de redPhoto: Brett Sayles / Pexels

La mayoría de la gente piensa en su router doméstico como un aparato de fondo, algo que se enchufa una vez y se olvida. Los funcionarios estadounidenses advierten que esa indiferencia es precisamente lo que convierte a los routers en un objetivo cada vez más atractivo para hackers vinculados a estados, y una nueva guía describe una campaña activa de actores vinculados a Rusia para secuestrar discretamente routers domésticos y de pequeñas empresas ordinarios en todo el mundo.

El objetivo, según la advertencia, no es principalmente espiar directamente al propietario del router, sino convertir los dispositivos comprometidos en lo que los investigadores de seguridad llaman una red de "proxies residenciales". Al enrutar el tráfico malicioso a través de miles de conexiones domésticas de internet ordinarias en lugar de infraestructura de ataque dedicada, los hackers pueden hacer que su actividad parezca tráfico web de consumidores normal, esquivando los sistemas de detección que señalan actividad sospechosa proveniente de direcciones IP de centros de datos conocidas.

Las redes de proxies residenciales también tienen usos comerciales legítimos, incluidos algunos servicios de publicidad e investigación de mercado que pagan a los consumidores por el acceso a su conexión a internet, lo que ha ayudado a normalizar un mercado para este tipo de enrutamiento de tráfico y ha hecho más difícil distinguir a simple vista las versiones maliciosas de las legítimas. Los hackers vinculados a estados que explotan routers comprometidos con el mismo fin obtienen el beneficio adicional de no necesitar en absoluto el consentimiento ni el conocimiento del propietario del dispositivo.

La técnica ofrece una ventaja particular para operaciones de espionaje y disrupción: un tráfico que parece originarse en una dirección residencial ordinaria de un país occidental tiene muchas menos probabilidades de activar el tipo de bloqueo automatizado al que se enfrentaría el tráfico proveniente de rangos de servidores hostiles conocidos. Eso convierte a los routers domésticos secuestrados en un terreno de preparación útil para alcanzar objetivos sensibles, incluidas redes gubernamentales y sistemas de infraestructura crítica, sin revelar de inmediato el verdadero origen de un intento de intrusión.

Los funcionarios afirman que los routers atacados son con frecuencia modelos más antiguos que han dejado de recibir actualizaciones de seguridad de sus fabricantes, junto con dispositivos que todavía funcionan con las contraseñas de administrador predeterminadas de fábrica, nunca cambiadas tras la instalación. Ambas situaciones son comunes entre los usuarios domésticos, que normalmente solo interactúan con un router cuando internet deja de funcionar, en lugar de tratarlo como una pieza de infraestructura que requiere el mismo mantenimiento de seguridad que un ordenador o un teléfono.

Las pequeñas empresas enfrentan una exposición similar, dependiendo a menudo de routers de gama de consumo en lugar de equipos de red empresariales, sin personal de TI dedicado que vigile las actualizaciones de firmware o los cambios de configuración inusuales. Esa combinación de acceso valioso a la red y supervisión mínima convierte a los routers de pequeñas empresas en un terreno intermedio atractivo para los atacantes, entre redes corporativas difíciles de alcanzar y conexiones domésticas individuales menos útiles.

Las defensas recomendadas, según la guía, no son ni exóticas ni costosas. Cambiar la contraseña de administrador predeterminada del router por una credencial única y sólida cierra de inmediato uno de los puntos de entrada más comúnmente explotados. Mantener el firmware actualizado, ya sea mediante actualizaciones automáticas cuando el router las admite o mediante comprobaciones manuales periódicas, cierra vulnerabilidades conocidas que los atacantes buscan activamente en internet. Deshabilitar el acceso de administración remota, una función que muchos routers traen activada de forma predeterminada, elimina una vía directa para que los atacantes lleguen al panel de control del dispositivo desde fuera de la red doméstica.

Los investigadores de seguridad señalan que este tipo de compromiso de routers puede ser difícil de detectar para un usuario promedio, ya que un dispositivo secuestrado generalmente sigue proporcionando servicio de internet normal a su propietario mientras enruta discretamente tráfico malicioso adicional en segundo plano. Esa invisibilidad es parte de lo que hace eficaz la técnica para los atacantes y parte de por qué las autoridades apuestan por la concienciación pública en lugar de depender únicamente de que los usuarios noten algo extraño.

Los proveedores de servicios de internet también tienen un papel que desempeñar, según los expertos en seguridad, ya que muchos siguen entregando routers a los clientes sin imponer cambios de contraseña en la instalación ni ofrecer avisos claros para las actualizaciones de firmware durante la vida útil operativa de un dispositivo. Algunos proveedores han comenzado a implementar políticas de actualización obligatoria y restablecimientos de contraseña predeterminada, aunque la adopción sigue siendo desigual en el sector.

Para la mayoría de los usuarios domésticos, el mensaje de fondo es sencillo según los funcionarios, aunque vaya en contra de hábitos muy arraigados: un router merece la misma atención básica de seguridad que cualquier otro dispositivo conectado a internet, no el tratamiento de "instalar y olvidar" que normalmente recibe, especialmente ahora que las campañas de piratería vinculadas a estados dependen cada vez más de exactamente ese tipo de descuido para operar sin ser detectadas.

Este artículo es un resumen editorial asistido por IA basado en Ars Technica. La imagen es una foto de archivo de Brett Sayles en Pexels.

Para seguir leyendo