Según Team Cymru Commercial Services, a partir de un análisis iniciado a fines del 2013, han detectado el ataque a por lo menos 300 mil ruteadores de uso SoHo (Small Office-Home Office- pequeñas empresas). Esta modalidad de ataque es denominada “SOHO Pharming”, o “Cosecha de SoHo”, ya que se trata de ataques a ruteadores inalámbricos de uso doméstico, ya sea para fines profesionales o no.

Aunque la gran mayoría de los ataques fueron detectados en Europa, el estudio muestra números importantes de ataques en Latinoamérica, en países como Colombia, Ecuador y Perú.

El equipo de Servicios de Inteligencia Empresarial del Team Cymru observó en enero de 2014 que muchos ruteadores inalámbricos TP-Link habían tenido sus configuraciones de DNS alteradas de forma maliciosa para que todas sus solicitudes fuesen desviadas a dos direcciones de IP específicas: 5.45.75.11 y 5.45.75.36.

La gran mayoría de dichas solicitudes no presentaban signos de actividades maliciosas, más allá de algo de lentitud al utilizar la Internet, pero analistas de dos de los grupos de investigación en seguridad de la información más importantes de Polonia Niebezpiecznik.pl y del CERT recientemente han expuesto un ataque masivo que utilizaba esta misma técnica llevando adelante una forma de ataque en dos etapas muy sofisticado en el cual clientes de bancos en Polonia eran afectados. Las instrucciones salientes de los ruteadores eran redireccionadashacia los servidores de DNS 95.211.241.94 y 95.211.205.5. La primera etapa utilizaba dicha redirección de DNS que venimos mencionando para robar credenciales, y la segunda utilizaba las credenciales para acceder a las cuentas de dichos clientes y enviar mensajes de texto a ellos pidiendo su aprobación de transferencias de fondos, una forma muy elaborada y exitosa de Ingeniería Social.

Ambos casos mencionados utilizan el mismo principio, es decir, explotan vulnerabilidades en ruteadores inalámbricos, que suelen ser vulnerables por tener contraseñas fácilmente adivinables y/o interfaces gráficas para usuarios, accesibles a través de la Internet. Dichas vulnerabilidades son fácilmente atacadas por fuerza bruta sin necesitar un alto nivel de conocimientos técnicos por parte del atacante.

Es importante resaltar que todos los dispositivos conectados al ruteador afectado están expuestos a los diversos tipos de malware a los que ellos son direccionados, así que el usuario tiene que tener en cuenta que más allá de proteger sus dispositivos con contraseñas fuertes y un software de antivirus confiable, es importante contactarse con el proveedor del ruteador y certificarse que las últimas actualizaciones de firmware estén instaladas. Además es preciso chequear que la interfaz gráfica no esté disponible online, y que la contraseña por defecto sea cambiada por una contraseña fuerte, para que la misma no pueda ser adivinada fácilmente a través de la fuerza bruta.

Más conceptos e información más detallada de seguridad pueden ser encontrados en la Guía de Seguridad en Redes Inalámbricas, preparada por ESET Latinoamérica.

Crédito imagen: Team Cymru