Desde una perspectiva de ciberseguridad, lo peor del movimiento en masa al teletrabajo ha sido la pérdida de control de los ambientes de red locales de las estaciones de trabajo. Los routers domésticos de los empleados representan un riesgo en especial, ya que, en esencia, reemplazaron la infraestructura de red que generalmente está a cargo de los especialistas informáticos. En la conferencia RSA 2021, en concreto en esta sesión sobre cómo abordar las amenazas a las que se enfrentan los empleados a distancia, los investigadores Charl van der Walt y Wicus Ross informaron sobre las nuevas formas en las que los ciberdelincuentes pueden atacar los ordenadores corporativos mediante los routers.
Por qué los routers domésticos son un grave problema
Incluso aunque las políticas de seguridad corporativa cubrieran las actualizaciones del sistema operativo de todos los ordenadores de trabajo, así como el resto de las configuraciones relevantes, los routers domésticos seguirían quedando fuera del control de los administradores de sistemas. Con respecto a los ambientes de teletrabajo, el departamento informático no puede saber qué otros dispositivos están conectados a una red, si el firmware del router está actualizado o si la contraseña es segura (o incluso si el usuario ha cambiado la contraseña predeterminada de fábrica).
Esta falta de control es solo una pequeña parte del problema. Algunos routers y SOHO domésticos presentan vulnerabilidades conocidas que los ciberdelincuentes pueden explotar para obtener el control completo del dispositivo, lo que daría como resultado una serie de botnets sobre los dispositivos del IdC como Mirai, capaz de combinar decenas, y a veces cientos, de miles de routers secuestrados para diversos fines.
En este sentido, cabe recordar que cada router es, básicamente, un ordenador pequeño que ejecuta algún tipo de distribución de Linux, por tanto, los ciberdelincuentes pueden lograr muchas cosas una vez que secuestran un router. Estos son algunos ejemplos sacados del informe de los investigadores.
Secuestrar una conexión VPN
Las empresas utilizan una VPN (red privada virtual por sus siglas en inglés) como herramienta principal para compensar los ambientes de red poco fiables de sus empleados. Las VPN ofrecen un canal cifrado mediante el cual los datos viajan entre el ordenador y la infraestructura corporativa.
Muchas empresas utilizan una VPN en modo de túnel dividido: el tráfico a los servidores de la empresa, como mediante una conexión RDP (protocolo de escritorio remoto por sus siglas en inglés), pasa por la VPN; el resto del tráfico pasa por la red pública no cifrada, que en general está bien. Sin embargo, si un ciberdelincuente controla el router puede crear una ruta DHCP (protocolo de configuración dinámica de host por sus siglas en inglés) y redirigir el tráfico del RDP a su propio servidor. Si bien no lo acerca a descifrar la VPN, sí puede crear una pantalla de inicio de sesión falsa para interceptar las credenciales de conexión al RDP. A los estafadores de ransomware les encanta usar el RDP.
Cargar un sistema operativo externo
Otra situación astuta para un ataque con un router secuestrado implica explotar la función PXE (entorno de ejecución de prearranque por sus siglas en inglés). Los adaptadores de red actuales utilizan el PXE para cargar un sistema operativo en los ordenadores por medio de la red. Por lo general, esta función está desactivada, pero algunas empresas lo utilizan, por ejemplo, para restaurar en remoto el sistema operativo de un empleado en caso de error.
Un ciberdelincuente que controla el servidor DHCP en un router puede proporcionar una dirección de un sistema modificado al adaptador de red de la estación de trabajo, a fin de ejercer control remoto. Es poco probable que los empleados se percaten de la situación, ni mucho menos que sepan qué está pasando (especialmente si están distraídos con las notificaciones de instalación de actualizaciones). Mientras tanto, los ciberdelincuentes tienen libre acceso al sistema de archivos.
Cómo protegerse
Para proteger los ordenadores de los empleados de los ataques ya mencionados y de otros, toma nota de estas medidas:
- Elige un túnel forzado en lugar de un túnel dividido. Muchas soluciones de VPN corporativas permiten el túnel forzado con excepciones (por defecto todo el tráfico pasa por un canal cifrado, donde se permite que recursos específicos eviten la VPN).
- Deshabilita el entorno de ejecución de prearranque en las configuraciones de BIOS.
- Cifra por completo el disco duro del ordenador mediante un cifrado de disco completo (con BitLocker en Windows, por ejemplo).
Es de vital importancia priorizar la seguridad de los routers de los empleados para aumentar el nivel de seguridad de cualquier infraestructura corporativa que incluya el trabajo en remoto o híbrido. En algunas empresas, el personal de soporte técnico consulta con los empleados las configuraciones óptimas para su router doméstico. Otras empresas entregan routers preconfigurados para los empleados a distancia y se les permite conectarse a los recursos corporativos solo mediante estos routers. Asimismo, formar a los empleados para contrarrestar las amenazas actuales es esencial para la seguridad de la red.