Investigadores han descubierto una gran botnet que ha estado secuestrado silenciosamente routers domésticos sin que nadie se diese cuenta. Qihoo 360 Netlab, sus descubridores, la han llamado BCMUPnP_Hunter, y afirman que ha infectado al menos a 100.000 routers en EEUU, India y China desde septiembre.
El BCM del nombre se refiere a una vulnerabilidad que afecta al software del interface para routers de Broadcom, de la que DefenseCode informó por primera vez en febrero de 2013.
UPnP es por supuesto “Universal Plug and Play”, un protocolo de red diseñado para facilitar que dos dispositivos se comuniquen sin necesidad de una configuración complicada.
No daremos el sermón sobre desactivarlo si no lo necesitas (después de todo, no es el único interfaz peligroso del router que merece este tratamiento) sino simplemente indicar el uso de Quihoo de la palabra “Hunter” como coletilla a modo de advertencia.
BCMUPnP_Hunter parece una historia desesperante por al menos dos razones, la primera la cantidad de productos que afecta.
La botnet abarca 116 dispositivos, incluyendo modelos de Billion, D-Link, Cisco Linksys (ahora Belkin), TP-Link, Zyxel, el propio Broadcom y otros.
La segunda es la antigüedad de esta vulnerabilidad, que parece no haber reducido el número de routers en peligro, aunque fue rápidamente parcheada por el primer proveedor afectado, Cisco Linksys, hace años.
Es muy posible que no todos los proveedores siguieran el mismo camino, e incluso cuando el parche estaba disponible, el número de infecciones indica que muchos usuarios de esos router nunca lo aplicaron.
DefenseCode resaltó este punto en 2017 cuando realizó una investigación de seguimiento, pero Qihoo 360 Netlab realizó un estudio en Shodan que estima que existen unos 400.000 routers en peligro.
BCMUPnP_Hunter encuentra sus víctimas escaneando UPnP vulnerables en el puerto TCP 5431, seguido por el puerto UDP 1900 utilizado para la implementación de Broadcom.
La vulnerabilidad es relativamente complicada, pero al final parece que se utiliza el router como proxy para enviar tráfico a sistemas de correo como Outlook, Hotmail y Yahoo. El objetivo más plausible es enviar spam.
Las botnet son una forma de robar recursos computacionales y distribuir gran cantidad de tráfico de una manera que es difícil de parar. Las botnet pueden atacar otro tipo de dispositivos, pero los routers tienen propiedades que los hacen muy atractivos:
- Hay muchos
- Están siempre conectados
- Tienen muchas vulnerabilidades de seguridad
- Muchos de sus dueños no les dan importancia
- Muchos nunca son actualizados
Por esto recientemente han sido objeto de muchos ataques como el VPNFilter de este verano.
¿Qué hacer?
Tengas o no un router que este afectado por esta amenaza, asegúrarte que el router está actualizado es una prioridad.
Si no lo está, deberemos buscar por una actualización en la página del fabricante. Si no hay ninguna disponible, tendremos que valorar la posibilidad de comprar uno nuevo de un fabricante que tenga un buen historial de actualizaciones de su firmware, idealmente cada dos meses.
Puedes saber si un fabricante es bueno en este punto visitando sus páginas de soporte y contando el número de actualizaciones que tiene para sus productos. En el pasado puede que solo hubiera unos pocos buenos, pero ahora los fabricantes se están tomando en serio este punto.
Cuando estrenas un router, asegúrate de desactivar cualquier protocolo que no usas, comenzando por UPnP antes de pasar a WPS, acceso web WAN, DMZ, redireccionamiento de puertos y FTP.
Obviamente, cambia las credenciales de autenticación por defecto del router y la contraseña WPA2 del wifi por algo más robusto.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: