VPNFilter

La amenaza de los routers infectados por el «malware» ruso es aún peor: ¿está tu equipo entre estos modelos?

La compañía de ciberseguridad ha informado que hasta seis marcas nuevas y decenas de modelos pueden estar comprometidos con el virus VPNFilter, que puede robar tus datos personales e inhabilitar tus equipos

Comprueba si tu router se ha podido ver afectado por el virus VPNFilter EFE

P. Biosca

06/06/2018
Actualizado 08/06/2018 a las 13:48h.

La amenaza por el «malware» VPNFilter , el virus informático por el que incluso el FBI ha alertado a la población por la posible infección de unos 500.000 routers en todo el mundo , es aún peor de lo que se pensaba en un principio. Según ha informado Cisco, la compañía de ciberseguridad que descubrió este potencial ciberataque a escala planetaria, los equipos comprometidos han aumentado en seis nuevas marcas (con decenas de modelos nuevos afectados) y desde la compañía señalan que este hecho puede suponer que los dispositivos infectados aumenten hasta los 700.000.

Además, Cisco ha alertado de que el virus tiene «capacidades adicionales» a las anteriores descritas (los primeros informes apuntaban a que podían hacerse con el control de los dispositivos y llevar a cabo ataques a gran escala a servidores sensibles, como los de las agencias de inteligencia gubernamentales). Así, ahora se ha demostrado que puede « inyectar contenido malicioso en el tráfico web según pasa por el router », lo que significa que el atacante no solo podría inutilizar el equipo, sino también monitorizar su tráfico para robar información personal como contraseñas o datos bancarios e incluso implantar el «malware» a otros dispositivos conectados al router.

Y no solo eso, ya que además tiene un modo de «autodestrucción» , que borra el rastro de su existencia si así lo desea el cibercriminal, para que no se sepa ni siquiera que ha estado allí. «El router es la pieza que está en medio entre nosotros e internet. Típicamente desconfiamos de lo que determinadas páginas pueden ejecutar (o intentarlo) en nuestros navegadores. Siempre recomendamos evitar las redes inalámbricas públicas por si un tercero malintencionado ha creado una red falsa que pueda interceptar nuestro tráfico y robarnos credenciales, espiar nuestras comunicaciones o atacarnos a través de nuestra navegación lícita inyectando tráfico malicioso. Bien, pues esto puede estar pasando en los routers comprometidos por VPNFilter », explica Lorenzo Martínez , especialista en seguridad informática y fundador de Securizame.

¿Cómo puedo solucionarlo si sospecho que mi router está infectado?

En el comunicado hecho público por el FBI se recomendaba reiniciar el router como medida de protección. Sin embargo, al ser un virus persistente (es decir, que se ejecuta al arrancar el dispositivo) realizar solo esta acción no es garantía de eliminar la amenaza , sino solo de ralentizarla en el caso de que, efectivamente, el dispositivo esté comprometido. «El consejo de reiniciar el router, quizá se refiera a reiniciar, resetear y actualizar su firmware , modificando cuanto antes las contraseñas por defecto para la gestión que estos traen», señala Martínez. Es decir, reiniciando el dispositivo sólo conseguimos que el equipo salga del control efectivo del «malware», por poco tiempo, ya que ciberdelincuentes siguen teniendo su control. Por eso es importante resetear el dispositivo a la configuración de fábrica ( en la mayoría, mediante la presión de un botón con un clip o un alfiler en un agujero que traen los aparatos ), actualizar el «firmware» con la última versión y cambiar la contraseña por defecto, para que no se vuelva a infectar.

También es recomendable configurar el dispositivo para evitar que se pueda operar de manera remota (esto es, que nadie pueda controlarlo desde otro ordenador conectado a internet ). «En muchos casos, las empresas nos solicitan el análisis de los servicios que exponen a internet, y en muchos casos en los que el router está incorrectamente configurado, estas vulnerabilidades podrían identificarse y solucionarse antes de que lo descubra alguien con malas intenciones», explica el responsable de Securizame.

Busca si tu equipo es uno de los afectados

Así, la lista de marcas y modelos que pueden haber visto comprometidos sus equipos son las siguientes [para buscar si tu dispositivo está afectado, primero busca entre las marcas ordenadas por orden alfabético y, dentro de estas, el modelo en cuestión. Al lado de los equipos que Cisco acaba de sumar a la lista se encuentra la palabra «nuevo» entre paréntesis]:

Marcas y modelos afectados:

ASUS :

- RT-AC66U (nuevo)

- RT-N10 (nuevo)

- RT-N10E (nuevo)

- RT-N10U (nuevo)

- RT-N56U (nuevo)

- RT-N66U (nuevo)

D-LINK:

- DES-1210-08P (nuevo)

- DIR-300 (nuevo)

- DIR-300A (nuevo)

- DSR-250N (nuevo)

- DSR-500N (nuevo)

- DSR-1000 (nuevo)

- DSR-1000N (nuevo)

HUAWEI:

- HG8245 (nuevo)

LINKSYS:

- E1200

- E2500

- E3000 (nuevo)

- E3200 (nuevo)

- E4200 (nuevo)

- RV082 (nuevo)

- WRVS4400N

MIKROTIK:

- CCR1009 (nuevo)

- CCR1016

- CCR1036

- CCR1072

- CRS109 (nuevo)

- CRS112 (nuevo)

- CRS125 (nuevo)

- RB411 (nuevo)

- RB450 (nuevo)

- RB750 (nuevo)

- RB911 (nuevo)

- RB921 (nuevo)

- RB941 (nuevo)

- RB951 (nuevo)

- RB952 (nuevo)

- RB960 (nuevo)

- RB962 (nuevo)

- RB1100 (nuevo)

- RB1200 (nuevo)

- RB2011 (nuevo)

- RB3011 (nuevo)

- RB Groove (nuevo)

- RB Omnitik (nuevo)

- STX5 (nuevo)

NETGEAR:

- DG834 (nuevo)

- DGN1000 (nuevo)

- DGN2200

- DGN3500 (nuevo)

- FVS318N (nuevo)

- MBRN3000 (nuevo)

- R6400

- R7000

- R8000

- WNR1000

- WNR2000

- WNR2200 (nuevo)

- WNR4000 (nuevo)

- WNDR3700 (nuevo)

- WNDR4000 (nuevo)

- WNDR4300 (nuevo)

- WNDR4300-TN (nuevo)

- UTM50 (nuevo)

QNAP:

- TS251

- TS439 Pro

- Otros equipos de QNAP NAS con el software QTS

TP-LINK:

- R600VPN

- TL-WR741ND (nuevo)

- TL-WR841N (nuevo)

UBIQUITI:

- NSM2 (nuevo)

- PBE M5 (nuevo)

UPVEL:

- De esta marca se ha descubierto la orientación de malware de Upvel como proveedor, pero no se ha podido determinar a qué dispositivo específico apunta (nuevo)

ZTE:

- ZXHN H108N (nuevo)