La amenaza actual más común sigue siendo la misma: el phishing, pero con una nueva versión que utiliza el router y que no requiere que caigas en la trampa de un correo electrónico. De hecho, las normas de seguridad más comunes (evitar las redes de wifi públicas, poner el cursor sobre los enlaces antes de clicar en ellos y demás) no te ayudarán en esta situación. A continuación, vamos a echar un vistazo a las diferentes estrategias de phishing relacionadas con el secuestro de routers.
El secuestro del router
Como norma general, un router se puede hackear de dos formas distintas y la primera se aprovecha del uso de las credenciales predeterminadas. Como ya sabrás, cada router cuenta con una contraseña de administrador, pero no la que utilizas para conectarte a tu red wifi, sino la necesaria para iniciar sesión en el panel de administración y cambiar la configuración.
Los usuarios pueden cambiar esta contraseña, pero la mayoría optan por dejar la predeterminada por el proveedor, la opción más sencilla para los intrusos que pueden adivinarla o, incluso, buscarla en Google.
La segunda estrategia consiste en aprovechar una vulnerabilidad en el firmware del router (lo cual es bastante común) que permita al ciberdelincuente tomar el control del dispositivo sin necesidad de introducir ninguna contraseña.
De una forma u otra, los ciberdelincuentes pueden ejecutar su trabajo en remoto, de forma automática y en masa. Una vez secuestrados, los routers pueden ofrecer una serie de beneficios, pero en esta publicación nos centraremos en este phishing más difícil de detectar.
Cómo utilizar los routers secuestrados para el phishing
Tras el secuestro, los atacantes modifican sus ajustes, pero se trata de un cambio muy pequeño e imperceptible. Tan solo alteran las direcciones de los servidores DNS que utiliza el router para descifrar los nombres de dominio. Pero ¿qué significa todo esto? ¿Por qué es tan peligroso?
El DNS (siglas en inglés de Sistema de Nombre de Dominio) es el pilar de Internet. Cuando introduces la dirección de un sitio web en la barra de direcciones del navegador, este no sabe realmente cómo encontrarla, ya que los navegadores y los servidores web utilizan direcciones IP numéricas y no los nombres de dominio que solemos utilizar los usuarios. Por tanto, el proceso es el siguiente:
- El navegador envía una solicitud al servidor DNS.
- El servidor DNS traduce la dirección del sitio web de un formato legible para los usuarios a su dirección IP numérica y se la comunica al navegador.
- Ahora el navegador ya sabe dónde encontrar el sitio web y carga la página por ti.
Todo sucede muy rápido y sin que te des cuenta. Pero cuando secuestran tu router y cambian las direcciones del servidor DNS, todas tus peticiones van directamente al servidor DNS controlado por los atacantes. En lugar de devolver la dirección IP del sitio que quieres visitar, el servidor malicioso devuelve una dirección IP falsa. Es decir, esta vez los ciberdelincuentes no te engañan a ti, sino al navegador para que cargue una página web de phishing y no el sitio que esperabas. Lo más preocupante es que tanto el navegador como tú creéis que la página es legítima.
The Brazilian Job: una campaña de phishing con routers secuestrados
En la última ola de este tipo de ataques, los ciberdelincuentes se han aprovechado de los fallos de seguridad en los routers D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech y TOTOLINK para comprometer estos dispositivos y modificar los ajustes del DNS. Por tanto, cada vez que los propietarios de los routers secuestrados intentaban acceder a sus cuentas de banca online o a los sitios web de proveedores de servicios, el servidor DNS bajo el control de los secuestradores los redirigía a páginas de phishing diseñadas para robar sus credenciales.
Esta campaña se ha dirigido principalmente a los usuarios brasileños, recreando los sitios de instituciones financieras, bancos, alojamiento web y proveedores de computación en la nube establecidos en Brasil.
Los secuestradores también atacaron a usuarios de algunos de los servicios más importantes en Internet, como PayPal, Netflix, Uber y Gmail.
Cómo protegerte de esta nueva versión de phishing
Como ya hemos comentado anteriormente, este tipo de phishing es prácticamente indetectable. No obstante, no tienes por qué perder la esperanza si sigues esta serie de consejos:
- Inicia sesión en la interfaz web del router, cambia las contraseñas predeterminadas e inhabilita la administración en remoto y otros ajustes peligrosos.
- Las actualizaciones suelen solucionar las vulnerabilidades, por tanto, intenta mantener al día el firmware del router. En algunos modelos las actualizaciones se realizan de forma automática, pero en otros la instalación debe ser manual. Busca online la información del proveedor de tu router para comprobar su sistema de actualización.
- Presta atención a los detalles inusuales y a las ventanas emergentes inesperadas, incluso en los sitios web que más visitas. Intenta hacer clic en varias secciones del sitio, ya que es casi imposible que los ciberdelincuentes recreen un sitio web al completo y con total fidelidad, incluso en los casos en los que el diseño de la página de phishing es sumamente profesional.
- Antes de introducir tus credenciales (o cualquier tipo de información sensible), asegúrate de que las conexiones son seguras (comprueba que el principio de la URL sea https://) y verifica que el nombre del certificado coincida con el nombre de la entidad. Para ello, haz clic en el candado que aparece en la barra de direcciones del navegador:
- En Internet Explorer o Edge verás la información del certificado que necesitas de inmediato.
- En Mozilla, tendrás que hacer clic en Conexión.
- En Chrome, haz clic en el candado y después en Certificado > General y comprueba la información que aparece en Emitido por.