Ciudad de México, a 24 de mayo de 2018. De acuerdo a Sophos, firma especializada en ciberseguridad y miembro de Cyber Threat Alliance (CTA), los investigadores de Cisco Talos revelaron un informe en el que se documenta una red gigante de bots IoT conocida como VPNFilter.

Más de 500 mil dispositivos en todo el mundo están infectados con este malware (software malicioso), la mayoría de ellos son routers de internet de consumo doméstico de diferentes proveedores, con algunos dispositivos NAS (almacenamiento conectado a la red) que también fueron atacados.

Cómo funcionan los bots

Las redes de bots o zombies son capaces de montar ataques simultáneos a gran escala en todo el mundo, también pueden adaptarse y actualizarse para incluir nuevas capacidades de malware que los ladrones deseen añadir posteriormente.

En algunos casos – como el malware VPNFilter – los zombies incluyen un comando especial para implementar lo que se podría llamar una política “¡huye, la policía está en camino!”, donde el malware se elimina deliberadamente y, a veces, también al dispositivo en el que se ejecuta.

VPNFilter no sólo incluye un comando de eliminación, de acuerdo con Cisco, sino que el comando de eliminación sobreescribe en la memoria flash del dispositivo, lo cual deja inservible al router infectado.

SophosLabs examinó una muestra de este zombie en el que el comando de eliminación inmediatamente cerró el malware, pero no trató de limpiar el dispositivo. Los investigadores de Sophos asumen que distintas variantes de la familia VPNFilter tienen diferentes características programadas.

Según Cisco, el malware VPNFilter también incluye un componente de actualización automática, permitiendo que su funcionalidad sea actualizada a voluntad; uno de los módulos de malware adicionales encontrados hasta ahora es un supuesto “sniffer de paquetes”.

Los sniffers entran en el software de red dentro del sistema operativo para que puedan monitorear los paquetes de red, buscando datos de interés en cualquier tráfico de red que no esté encriptado.

¿Qué hacer?

1.- Contacta a tu proveedor de internet para averiguar cómo hacer una actualización de firmware. Muchos routers reciben actualizaciones de seguridad de vez en cuando, pero a menudo no se descargan ni se instalan automáticamente. Por lo general, es necesario iniciar sesión en la consola de administración y comprobar.

2.- Apaga la administración remota a menos que realmente la necesites. Muchos routers permiten acceder a la interfaz de administración desde el lado de Internet, así como desde el lado LAN del dispositivo. Algunos incluso vienen así de fábrica. Los ladrones rutinariamente escanean internet para probar las pantallas de login que no están visibles y que por eso son menos propensos a ser asegurados correctamente.

3.- Escoge contraseñas apropiadas. Muchos routers llegan con una contraseña de administrador preestablecida, y algunos enrutadores no obligan a elegir una nueva contraseña cuando se configuran por primera vez. Los ladrones tienen extensas listas de nombres de usuario y contraseñas por defecto para todo tipo de dispositivos de internet.

4.- Apégate a los sitios “https” lo más posible. En términos generales, las conexiones web que aparecen con un candado en el navegador son encriptadas end-to-end, por lo que no pueden ser olfateadas a lo largo del camino por un dispositivo de internet no confiable.

La ejecución de una actualización de firmware en muchos routers domésticos eliminará el VPNFilter, junto con otras cepas de malware de router. Si ya está actualizado y no hay sospechas de que tu dispositivo esté infectado, una actualización de firmware dará una doble tranquilidad.