La Nueva España

La Nueva España

Contenido exclusivo para suscriptores digitales

El ataque de los routers "zombis"

El FBI dice tener controlada la infección de más de medio millón de dispositivos en 54 países

El ataque de los routers "zombis"

Piratas informáticos rusos han alcanzado el núcleo de la informática doméstica. No son los usuarios su objetivo final, pero un ciberataque masivo con conexiones atribuidas al entorno de los servicios secretos rusos ha infectado a al menos medio millón de routers de hogares o medianas empresas en 54 países. El FBI ha dado por controlada la amenaza después de encender todas las alarmas contra "VPNFilter", la inusitada acometida de un programa malicioso difundido a gran escala capaz de tomar el control del router, de apagarlo, de espiar su actividad y robar su información o de hacerlo consumir publicidad de forma automatizada o tergiversada, pero sobre todo de utilizarlo como vehículo de asalto en una operación de mucho más alto nivel. El tipo de acometida hace inferir la posibilidad de que miles y miles de terminales hayan sido contaminados para ser incluidos en una "botnet", o red de robots informáticos, una red "zombi" en la que pueden hacer básicamente todo aquello que los cibercriminales quieran.

Ahí los dispositivos infectados se comportan como "zombis" y bajo control remoto pueden ejecutar un "ataque distribuido de denegación de servicio" (DDoS). Básicamente, tal y como lo explica Luis Vinuesa, profesor de Seguridad Informática en la Escuela de Ingeniería Informática de la Universidad de Oviedo, consiste en hacer peticiones de forma coordinada y masiva a determinados sitios o plataformas para saturarlas y que no sean capaces de atender las peticiones legítimas, dañando así económicamente a las organizaciones.

Según el asturiano Pablo F. Iglesias, analista de seguridad de la información y nuevas tecnologías, consultor de marca y reputación online, "la mayoría de expertos parece señalar que el malware comparte código con otros creados por APT-28", un grupo de cibercriminales al que se ha atribuido alguna "relación" con el Kremlin. Se ha relacionado también el caso con "Fancy bear", el grupo ruso que atacó la campaña electoral del actual presidente francés, Emmanuel Macron. No ha trascendido la lista exacta de las naciones donde opera VPNFilter, pero como "parece que el país más afectado es Ucrania", cunde alguna sospecha de que el propósito pueda tener que ver con los intereses geopolíticos de Rusia en la zona. Incluso se apunta que la "botnet" tuviera como objetivo atacar la infraestructura tecnológica de cobertura de la final de la Liga de Campeones, que se disputó el sábado en Kiev, aunque si era esa la intención es evidente que ha fracasado. Iglesias incluye entre las conjeturas el ciberespionaje, o que se trate "únicamente de otra 'botnet' más con fines puramente económicos". No se saben los países, pero sí una lista preliminar de los modelos de router atacados: no figuran los más usados por los operadores españoles ni ninguno de ellos ha activado las alarmas.

El método, descubierto por la seguridad de la multinacional tecnológica Cisco, se ve sorprendente y novedoso por su insólita capacidad de acceso al corazón de los hogares y a las redes informáticas locales, por el uso nada frecuente de los routers como vehículo del mal, tal vez no tanto los de usuarios domésticos como los de pequeñas y medianas empresas, explica Irene Cid, consultora y profesora, miembro del Colegio de Ingenieros Informáticos del Principado. "Lo más preocupante", valora, "es que hayan conseguido entrar en los routers e instalar el malware", porque por la propia configuración de estos dispositivos el acceso y la instalación son "en teoría operaciones complicadas". El router suele estar configurado "para que incluso conectándose a él de modo remoto no permita instalar este tipo de programas en el sistema operativo".

Reiniciar no basta

Los expertos confluyen, esto sí, en dudar que para estar a salvo baste con reiniciar los equipos, recomendación básica del FBI. Luis Vinuesa avanza que "resetear el equipo está bien. Si está infectado, así puede eliminar la infección, pero no evitar una nueva". La respuesta es "actualizar el equipo a una versión que nos proteja, pero eso lo hará en todo caso el operador que nos presta el servicio". Si el malware está instalado en el router y éste se reinicia, aporta Irene Cid, el virus dejará de ser efectivo, pero seguirá la puerta abierta para que otro programa malicioso pueda llegar a ser instalado.

Pablo F. Iglesias observa la recomendación del FBI y duda. "Es pecar de ingenuos", reseña, "esperar que sólo reiniciando se vaya a eliminar el malware. Lo más probable es que 'VPNFilter' sea persistente, es decir, capaz de volver a activarse incluso cuando el router se resetea a su estado de fábrica". Concede que incluso en este caso no se borraría del todo la posibilidad de una nueva infección e infiere que el FBI puede recomendar que se reinicien los equipos para conocer "el impacto real de la amenaza. Se forzaría al dispositivo a comunicarse con el centro de control, lo que permitiría enumerar a las víctimas".

Al final, la respuesta de los expertos para el usuario doméstico es mantener los equipos actualizados y un cambio frecuente de contraseñas.

Compartir el artículo

stats