Amenazas en IoT: evita que tu router sea una puerta abierta para atacantes

A principios de este año me vi obligada a comprar un nuevo router para mi casa. Es que, con tantos dispositivos para conectar, el viejo TP Link ya no daba abasto. Dos computadoras, tres celulares, la consola de videojuegos, el televisor, el Chromecast, el equipo de música, las luces inteligentes, el termostato, el smartwatch… Son 13 equipos conectados permanentemente en 50 metros cuadrados, y esto sin considerar cuando vienen invitados y lo primero que piden es la clave del Wi-Fi.

Luego de varias vueltas y de analizar las características de muchos dispositivos, me decidí por el router On Hub de Google, ya que es un equipo pensado para Internet de las Cosas y, además de soportar más de 30 dispositivos simultáneos conectados, es uno de los más seguros del mercado.

En efecto, el router es el primer dispositivo que debes asegurar, ya que no solo controla el perímetro de tu red, sino que todo tu tráfico e información pasan por él. Hoy en día, la mayoría de estos dispositivos cuentan con una amplia variedad de funciones, herramientas y configuraciones, las cuales no solo aumentan su potencial sino también el riesgo a ser vulnerados.

Por lo tanto, sea cual sea el modelo que tengas en tu casa, tómate unos minutos para analizar su funcionamiento y asegúrate de verificar estos cinco puntos claves en su configuración.

#1 Cambia la contraseña de tu router

Parece mentira que en el año 2017 todavía este consejo sea el primero de la lista, pero lo cierto (y alarmante) es que aún muchos usuarios no cambian la contraseña de sus equipos al momento de instalarlos en casa. Sin ir más lejos, hace menos de un mes, una investigación a cargo de la compañía Hold Security detectó que un portal interno de la empresa Equifax (la misma que acababa de informar sobre una brecha de alcance masivo) podría ser fácilmente vulnerado por utilizar credenciales por defecto.

Así mismo, a fines del año pasado explicamos cómo los cibercriminales tenían acceso a miles de routers hogareños, debido a que sus dueños no habían cambiado la contraseña por defecto.

Estas credenciales están en casi cualquier dispositivo y pueden ser encontradas fácilmente haciendo una búsqueda en Internet. Así que cambia tanto el usuario como la clave e intenta utilizar contraseñas fuertes y únicas.

#2 Divide y triunfarás: separa los dispositivos

La mayoría de los routers modernos para Internet de las Cosas permiten crear diferentes redes con distintos propósitos. Una buena práctica es aprovechar esta función y crear redes separadas, de forma tal de exponer lo menos posible los dispositivos más sensibles.

Además, muchos routers actuales traen también la funcionalidad de firewall, que permite analizar el tráfico entrante y saliente del dispositivo y determinar qué conexiones estarán permitidas y cuáles no.

A partir de estas funcionalidades puedes, por ejemplo, separar todos los dispositivos sensibles como cámaras de vigilancia, dispositivos de almacenamiento, controles ambientales (como luces o termostatos), etc. del resto de los dispositivos como computadoras o celulares.

También puedes elegir qué dispositivos quieres compartir cuando tienes invitados en casa y cuáles quedan aislados, o separar las consolas de juego y computadoras de tus hijos del resto de la red.

De esta manera, tus equipos más importantes estarán protegidos en caso de un acceso no autorizado o si ocurre una infección de malware.

#3 Deshabilita los servicios y funcionalidades que no utilices

A menos que sepas específicamente para qué sirve cada funcionalidad de tu router, deshabilita todas las que no estén en uso. A partir de una técnica sencilla de escaneo se pueden determinar cuáles son los puertos y servicios abiertos. Estos pueden ser accesibles desde el exterior y dejar una puerta abierta para un atacante o un vecino curioso. Además, muchos de estos servicios pueden tener vulnerabilidades que un atacante puede aprovechar para tener acceso a la red.

Según una encuesta realizada por ESET a fines del año pasado, más del 20% de los dispositivos de enrutamiento hogareño tienen habilitados servicios de administración remota en protocolos no seguros como Telnet o HTTP.

Si no necesitas acceder a tu router desde el exterior de tu casa, mejor deshabilita la administración remota, controla que los servicios de administración sean sobre protocolos seguros como SSH o HTTPS y deshabilita cualquier otra funcionalidad que no utilices.

Este consejo también aplica a todos los dispositivos que se conectan al router. Desactiva la cámara, micrófono u otros componentes que no utilizas de todos tus dispositivos, para evitar exponerlos. De hecho, es tan común que muchos usuarios dejen habilitados estos servicios o no los configuren adecuadamente, que el buscador Shodan tiene indexadas más de 9 mil cámaras web y 7 mil routers con credenciales por defecto.

#4 Audita tus dispositivos y conexiones

¿Sabes cuántos dispositivos están conectados a tu red? ¿Puedes identificarlos fácilmente? Esto es clave a la hora de detectar intrusos o comportamientos extraños.

Si bien pareciera una actividad tediosa y complicada, la realidad es que muchos routers facilitan la identificación de los equipos conectados ya que, en vez de usar nomenclaturas difíciles de entender como las direcciones MAC, permiten crear nombres personalizados para cada dispositivo. En estos casos, es recomendable tomarse unos minutos para identificar los equipos y poder luego reconocerlos más fácilmente.

No está de más hacer un conteo cada tanto y revisar cuáles son los equipos dentro de nuestra red, como el televisor, la consola de juegos, cámaras de seguridad, dispositivos inteligentes, etc. De paso, ya que estamos, podemos también revisar las configuraciones de estos equipos y asegurarnos de que no hayan quedado opciones por defecto ni haya actualizaciones pendientes de instalar.

#5 Actualiza el firmware de tus dispositivos (¡especialmente después de KRACK!)

Todos los equipos de hardware tienen un sistema operativo, el cual se conoce como firmware; y, al igual que cualquier otro sistema, debe ser actualizado para corregir los posibles bugs y vulnerabilidades. De hecho, encontrar vulnerabilidades en firmware de routers y otros equipos de hardware es mucho más común de lo que parece. Hace apenas unos meses, una vulnerabilidad reportada en los routers NetGear permitía robar las credenciales de acceso y tener el control del dispositivo.

Aún más alarmante es la recientemente descubierta vulnerabilidad en el protocolo de seguridad de redes Wi-Fi WPA2, llamada KRACK, la cual afecta a muchos de los dispositivos que lo implementan (tanto routers como computadoras, tablets, celulares o cualquier otro que utilice Wi-Fi) y permite a un atacante interceptar el tráfico en estas redes. Debido a que se trata de una vulnerabilidad en el protocolo, resulta indispensable contar con los parches de seguridad de cada fabricante para mitigarla.

La diferencia principal entre el firmware de la mayoría de los routers y del sistema operativo de tu computadora o teléfono celular es que, en estos últimos, las actualizaciones suelen ser automáticas. Es decir, que se descargan e instalan sin requerir la interacción del usuario. En el caso de los equipos de red, como la mayoría de los dispositivos IoT, las actualizaciones de firmware no son automáticas, sino que el usuario debe descargar e instalar la nueva versión.

Si bien esto puede resultar un poco tedioso para usuarios sin muchas habilidades técnicas, lo cierto es que no es tan difícil como parece. La mayoría de los dispositivos cuentan con una interfaz gráfica de administración, en la cual seguramente encontrarás una sección con información acerca del dispositivo.

Una vez que encuentres el modelo de tu router y la versión de firmware instalada, basta con ir a la página web del proveedor y revisar si hay alguna versión actualizada para instalar. Incluso, muchos dispositivos ya incluyen la función de actualización directamente en su consola de administración, lo cual resulta muy útil.

Ahora ya sabes que vale la pena invertir unos minutos en la configuración de tu router y de los dispositivos conectados en tu red. No tengas miedo de ponerte a investigar las funcionalidades, desactivar las que no utilizas, configurar las medidas de protección y estar atento a los dispositivos conectados. La mayoría hoy en día vienen con interfaces gráficas amigables para que en unos minutos estés más protegido.