29 may 2018

¿Reiniciar el router para detener la infección de VPNfilter? mmm...

El malware VPNfilter detectado primero por CISCO Talos ha infectado al menos 500.000 routers y está dando mucho que hablar. Los investigadores atribuyen la creación de este virus a los grupos de cibercriminales APT28 y Fancy Bears, vinculado con el "hackeo" en 2016 de las pruebas de doping de las deportistas Simone Biles y las hermanas Williams.
Varias agencias de seguridad online y después el FBI están recomendado el reinicio de este tipo de equipos, con especial hincapié en los de pequeñas empresas y los domésticos, aunque son conscientes de que este malware es difícil de detectar debido a su nivel de cifrado. "El FBI recomienda que cualquier propietario de pequeños enrutadores y enrutadores de oficinas domésticas apague (reinicie) los dispositivos", reza en la misiva, que se ha extendido como la pólvora por todo internet.

Pero, ¿es posible deshacerse de un virus solo con reiniciar el equipo? Los expertos contradicen al FBI acerca de los más de 500.000 routers infectados por VPNFilter. En opinión de Lorenzo Martínez, especializado en seguridad informática y fundador de Securizame, está infección "es persistente", por lo que "aunque lo reinicies no lograrás evitar tener comprometido el router".

"No me cuadra mucho que el FBI dé esa solución. Supongo que es por aquellos routers que hayan sido comprometidos por una versión de ese malware o por otras variantes de este, que no lograban persistencia", sostiene en declaraciones a ABC. Sin embargo, puede darse el caso que el dispositivo de Red no haya sido comprometido de manera persistente, un supuesto que se produce "cuando el malware que se instala resiste a los reinicios debido a que se copia en alguna parte del router, al arranque de este. Si se da la suerte que no llega a pasar esto, el router al arrancar no está comprometido, aunque puede darse el caso que no se haya instalado una actualización del software que solucione la vulnerabilidad y, en este caso el simple hecho de estar expuesto a Internet podrá ser comprometido nuevamente.

De hecho, a pesar de los titulares, el FBI no especificaba en su comunicado que reiniciar el dispositivo sea una medida efectiva para acabar con este malware. Solo indicaba que reiniciar "interrumpiría temporalmente y haría más sencillo identificar los dispositivos cifrados. Se recomienda a los propietarios que consideren la desactivación de la configuración de administración remota en los dispositivos y la seguridad con contraseñas seguras y cifrado cuando esté habilitado", proseguía el mensaje, recomendando también que se actualizase el dispositivo con las últimas actualizaciones disponibles, un hecho que suele olvidarse porque no se suele operar directamente con este equipo.

Cómo eliminar VPNFilter por completo

Una vez el malware llega al dispositivo, hay tres fases. En una primera se instala y logra camuflarse y seguir incluso cuando se reinicia el dispositivo.

Posteriormente, los atacantes pueden ejecutar diferentes comandos y robar los datos. En este segundo paso también puede hacer que el router deje de funcionar. La última y tercera fase tiene como función monitorear la comunicación y rastrear todo tipo de conexiones.

Es cierto que si reiniciamos el router evitamos las fases 2 y 3. Sin embargo el problema sigue existiendo en nuestro dispositivo. Por ello vamos a explicar qué hay que hacer para eliminarlo por completo.

En primer lugar tenemos que resetear nuestro router a valores de fábrica. Dejarlo tal y como venía al comprarlo o cuando nos lo entregó nuestra operadora.

Una vez hecho esto, es muy importante actualizar el firmware a la última versión. Esto no es exclusivamente para eliminar VPNFilter, sino para cualquier tipo de amenazas. Es muy recomendable tener siempre la última versión. Es común que puedan surgir vulnerabilidades que los ciberdelincuentes puedan explotar y, gracias a los parches de seguridad y a las actualizaciones, son corregidas.

Posteriormente debemos de cambiar la contraseña de acceso al router. No hay que confundirla con la clave Wi-Fi. De forma predeterminada nuestro dispositivo trae un nombre de usuario y contraseña para acceder. Esta es otra de las pautas básicas para asegurar nuestro router. Hay que cambiar estas credenciales tan pronto como sea posible.

El cuarto y último paso consiste en deshabilitar la administración remota. Esto seguramente sea lo menos importante para los usuarios, ya que la mayoría de los routers la traen deshabilitada por defecto. Sin embargo hay que tenerlo en cuenta por si la hemos habilitado por algún motivo.

Fuente: ABC

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!