Si no ha pensado en ello desde el día en que configuró el enrutador de su casa, el FBI quiere hablar con usted. Agencias federales, incluidos el FBI y la NSA, revelaron el 7 de abril que el grupo GRU conocido como APT28 o Fancy Bear, una unidad de la dirección de inteligencia militar de Rusia, ha estado comprometiendo sistemáticamente enrutadores domésticos y de pequeñas oficinas desde al menos 2024, utilizando credenciales de interceptación, tokens sensibles a la autenticación y acceso a las comunicaciones. La compañía ha tomado la inusual medida de restablecer remotamente miles de dispositivos estadounidenses afectados bajo una orden judicial, pero los funcionarios advierten que el problema está lejos de resolverse sin la acción de los propietarios individuales de enrutadores.
El ataque tuvo como objetivo enrutadores de oficinas pequeñas o domésticas, también conocidos como enrutadores SOHO, y fue llevado a cabo por una unidad de la agencia de inteligencia militar rusa, el GRU. Las agencias gubernamentales instan a las personas a seguir pasos básicos de higiene del enrutador, como actualizar al firmware más reciente y cambiar las credenciales de inicio de sesión predeterminadas. Incluye el Centro Nacional de Seguridad Cibernética del Reino Unido Especialmente varios enrutadores TP-Link Un objetivo para los piratas informáticos.
Si bien esta noticia suena bastante alarmante, vale la pena señalar que el ataque comprometió específicamente los enrutadores empresariales, por lo que su hogar enrutador wifi Probablemente no haya riesgo. Dicho esto, algunos enrutadores afectados pueden usarse como enrutadores domésticos estándar, por lo que vale la pena verificar si su modelo ha sido explotado en el ataque.
“Existe una gran tendencia hoy en día a explotar los enrutadores, y eso se aplica tanto a los enrutadores de consumo como a los de empresas o corporativos”, dijo a CNET Daniel dos Santos, vicepresidente de investigación de la empresa de ciberseguridad ForScout.
¿Qué tipo de ataque es?
Un comunicado de prensa de NSA Tenga en cuenta que el ataque se dirigió indiscriminadamente a un amplio conjunto de enrutadores, con el objetivo de recopilar información relacionada con “infraestructura militar, gubernamental y crítica”.
El ataque está vinculado a actores de amenazas dentro del GRU ruso, que se conoce con los nombres APT28, Fancy Bear, Forest Blizzard y otros, y ha estado sucediendo desde al menos 2024, según el FBI.
Esto se conoce como operación de secuestro del sistema de nombres de dominio, donde las solicitudes de DNS se interceptan cambiando la configuración de red predeterminada en los enrutadores SOHO, lo que permite a los actores ver el tráfico de los usuarios sin cifrar.
“Para actores de estados-nación como Forest Blizzard, el secuestro de DNS permite una visibilidad y recuperación continua y pasiva a escala” Informe de inteligencia sobre amenazas de Microsoft al ataque.
Microsoft ha identificado más de 200 organizaciones y 5.000 dispositivos de consumo afectados por el ataque de GRU.
¿Qué enrutadores se vieron afectados?
El anuncio del FBI se refiere específicamente a un enrutador, TP-Link TL-WR841NHabía un modelo Wi-Fi 4 Lanzado originalmente en 2007.. El Centro Nacional de Seguridad Cibernética del Reino Unido enumera 23 modelos de TP-Link que fueron atacados, pero señala que probablemente no sea exhaustivo.
Aquí está la lista de dispositivos afectados:
- Enrutador inalámbrico N LTE TP-Link MR6400
- Router Gigabit Inalámbrico De Doble Banda TP-Link Archer C5
- Router Gigabit Inalámbrico De Doble Banda TP-Link Archer C7
- Enrutador Gigabit Inalámbrico de Doble Banda TP-Link WDR3600
- Enrutador Gigabit Inalámbrico de Doble Banda TP-Link WDR4300
- Enrutador inalámbrico de doble banda TP-Link WDR3500
- Enrutador inalámbrico Lite N TP-Link WR740N
- Enrutador inalámbrico Lite N TP-Link WR740N/WR741ND
- Enrutador inalámbrico Lite N TP-Link WR749N
- Enrutador Inalámbrico N 3G/4G TP-Link MR3420
- Punto de Acceso Inalámbrico N TP-Link WA801ND
- Punto de Acceso Inalámbrico N TP-Link WA901ND
- Enrutador Gigabit Inalámbrico N TP-Link WR1043ND
- Enrutador Gigabit Inalámbrico N TP-Link WR1045ND
- Enrutador inalámbrico N TP-Link WR840N
- Enrutador inalámbrico N TP-Link WR841HP
- Enrutador inalámbrico N TP-Link WR841N
- Enrutador inalámbrico N TP-Link WR841N/WR841ND
- Enrutador inalámbrico N TP-Link WR842N
- Enrutador inalámbrico N TP-Link WR842ND
- Enrutador inalámbrico N TP-Link WR845N
- Enrutador inalámbrico N TP-Link WR941ND
- Enrutador inalámbrico N TP-Link WR945N
Un portavoz de TP-Link Systems dijo a CNET en un comunicado que los modelos afectados alcanzaron el estado de fin de servicio y vida útil hace varios años.
“Si bien estos productos están fuera de nuestro ciclo de vida de mantenimiento estándar, TP-Link ha desarrollado actualizaciones de seguridad para modelos heredados seleccionados cuando sea técnicamente posible”, dijo el portavoz.
TP-Link insta a las personas con estos enrutadores más antiguos a actualizar a un dispositivo más nuevo si es posible. Puede encontrar una lista de parches de seguridad disponibles en él. Página de avisos de seguridad Abordar los ataques recientes.
Cómo mantener seguro su enrutador
La NSA nombra las empresas en una lista Mejores prácticas para proteger su red doméstica. Si estás utilizando uno de los dispositivos afectados, lo más importante que puedes hacer es actualizar tu enrutador lo antes posible. Probablemente no haya recibido una actualización de firmware en años, lo cual es como abrir la puerta de la red.
“Cuanto más tiempo se mantenga, mayor será el riesgo”, dijo Rick Ferguson, vicepresidente de inteligencia de seguridad de ForScout. “El enrutador se encuentra en un punto ventajoso dentro de cualquier red. Toda su comunicación, todo su tráfico tiene que pasar a través de ese dispositivo”.
Además de utilizar un dispositivo nuevo que todavía recibe actualizaciones de seguridad, existen algunos otros pasos que puede seguir para bloquear su red:
- Actualice su firmware periódicamente: Muchos dispositivos de red le permiten habilitar Actualización automática de firmware Si es una opción en la configuración, recomendaría hacerlo. De lo contrario, puede obtener actualizaciones iniciando sesión en la interfaz web de su enrutador o usando su aplicación.
- Reinicia tu enrutador: Las pautas de la NSA recomiendan reiniciar su enrutador, teléfono inteligente y computadora al menos una vez a la semana. “Los reinicios regulares ayudan a garantizar la extracción y la seguridad del implante”, dice la agencia.
- Cambiar el nombre de usuario y la contraseña predeterminados: Una de las formas más comunes en que los piratas informáticos obtienen acceso es utilizando credenciales de inicio de sesión predeterminadas establecidas por el fabricante. “Hay toda una economía clandestina detrás de todo esto”, dice Ferguson. “Esencialmente, simplemente recopilan credenciales, ya sea a través de sus propios ataques, o las acaparan de otras fuentes y las compran”. Esta combinación de nombre de usuario y contraseña es independiente de su inicio de sesión de Wi-Fi, que debe cambiarse aproximadamente cada seis meses. Cuanto más larga y aleatoria sea tu contraseña, mejor.
- Desactivar la gestión remota: La mayoría de los usuarios habituales no necesitan administrar de forma remota su enrutador Wi-Fi, y esta es una forma principal en que los actores de amenazas pueden cambiar la configuración de su enrutador sin su conocimiento. Generalmente puedes encontrar esta opción en tu Configuración de administrador del enrutador.
- Utilice una VPN: El anuncio del FBI sobre el ataque recomienda específicamente que las organizaciones con trabajadores remotos Utilice una VPN Al acceder a datos sensibles. Estos servicios cifran su tráfico cuando pasa a través de un servidor remoto, manteniéndolo a salvo de los piratas informáticos.
