Cómo saber si tenemos un router seguro y cómo protegerlo

Cómo saber si tenemos un router seguro y cómo protegerlo

La seguridad de los routers domésticos es bastante mala. Un atacante puede aprovecharse de un fabricante irresponsable y controlar una gran cantidad de estos dispositivos, que pasarían a usarse como réplica en fines muy turbios y sin conocimiento del usuario.

router-pendrive

Lo cierto es que el mercado de los routers domésticos es muy similar al de Android: Los fabricantes producen un gran número de dispostivos distintos y no se molestan en actualizarlos, lo que los deja con importantes agujeros de seguridad y puertas traseras que cualquiera que sepa lo que se hace podría aprovechar.

¿Se ha visto comprometido mi router?

Los hackers buscan en muchas ocasiones cambiar los ajustes del servidor DNS del router, apuntándolo hacia un servidor malicioso. De esta forma cuando tienes que conectarte a un sitio web --por ejemplo, el de tu entidad bancaria--, el servidor DNS malicioso te dirige a una web que suplanta la identidad de tu banco, usando una técnica conocida como phishing. En Rootear ya te hemos explicado cómo evitar el phishing, nunca está de más tener esa información en cuenta.

¿Qué pasaría si intentases ver tu información bancaria en la web falsa? Probablemente robarían tus credenciales de acceso y podrían acceder a tu información bancaria, y sólo con apuntarte a un servidor DNS malicioso. El caso es que dicho servidor DNS no tiene por qué responder a todas las consultas de tu ordenador: Puede que descarte la mayoría de las peticiones de consulta y las redirija a los DNS de tu operador. Una resolución lenta de nombres es una señal de que puedes esar infectado.

Los hackers podrían intentar también colar publicidad, redirigir resultados de búsqueda o intentar instalar todo tipo de crapware mediante el método drive-by download, que se aprovecha de una visita a una página web infectada con este tipo de amenaza. A través de un enrutador no seguro los atactantes también pueden capturar peticiones a Google Analytics u otros scripts que usa casi cada sitio web, y después podrían redirigir dichas peticiones a un servidor que usa otro script que inyecta publicidad. Dicho de otra manera: Si ves anuncios pornográficos en sitios web legítimos o no relacionados con los anuncios o tu router o tu ordenador están infectados con algo.

Te puede interesar: Te ofrecemos algunos consejos para mantener tu ordenador seguro y libre de virus

descubre si alguien utiliza tu pc

Muchos ataques usados en la infección de routers son del tipo cross-site request forgery o CSRF. En este tipo de ataques se usa un JavaScript infectado que se carga en una página web, y dicho JavaScript intenta cargar la página web de administración del router y cambiar sus ajustes. Como el código JavaScript está ejecutándose en un dispositivo que está en tu red local, el código puede acceder la interfaz web que está disponible sólo a través de nuestra red local.

Algunos routers, especialmente los que entregan los ISPs con cada instalación de Internet doméstico, vienen con un nombre de usuario y una contraseña por defecto. Unos bots bien programados pueden buscar por todo Internet enrutadores de este tipo, encontrarlos y conseguir acceso a ellos. Otros exploits pueden aprovecharse de otros puntos débiles, como por ejemplo UPnP.

Comprobando si nuestro router está infectado

El principal signo que nos debería alertar de que nuestro router ha sido comprometido es que se ha cambiado el servidor DNS al que enviamos nuestras peticiones. Para ello tendríamos que entrar en la interfaz web de nuestro router y comprobar los ajustes de DNS. Para ello tendremos que escribir en un navegador la dirección de nuestra gateway predeterminada, que en muchos casos es 192.168.1.1.

Nos pedirá el nombre de usuario y la contraseña. Cuando se los hayamos proporcionado, entramos y buscamos el apartado WAN dentro de uno que debería llamarse Network, aunque esto varía de un router a otro. En esa pestaña debería haber información sobre nuestros DNS, algo similar a lo que se ve en esta imagen:

seguridad router dns operadora

Si los DNS coinciden con los de nuestro operador o con los que nosotros fijamos --por ejemplo, los DNS de Google-- no hay ningún problema, pero si no reconoces ninguna de las direcciones IP que estableciste como tus servidores DNS principales... Tenemos un problema potencialmente grave. Si tienes dudas con respecto a los DNS que aparecen en la configuración de tu router, con una busqueda en Google para saber de qué se trata. Un servidor DNS con los valores 0.0.0.0 no es maligno y generalmente significa que la dirección está vacía y será el propio router el que consiga un servidor DNS de forma automática.

Los expertos recomiendan comprobar estos ajustes de forma ocasional para saber si nuestro router está comprometido o no.

El router apunta a un DNS malicioso

Si al entrar en la página de configuración compruebas que tu router te redirige a un DNS malicioso, algo que podrías hacer es deshabilitarlo y cambiar el DNS por direcciones legitimas, como las de tu proveedor de internet o los DNS de Google.

Otra opción que tienes en caso de que el router apunte a un DNS malicioso es restablecer los datos de fábrica del dispositivo realizando un wipe completo antes de configurarlo de nuevo, sólo por si acaso. Para ello tendrías que ir a los apartados Maintenance > Tools > Configuration y pulsar el botón Reset, lo que borrará todos los datos que hayas modificado como usuario. Esto variará entre routers, pero en todos debería aparecer un mensaje en el que se informa de los cambios que se producirán tal y como puedes ver a continuación:

seguridad router factory reset

Cómo proteger el router ante los ataques

Se pueden establecer líneas de defensa ante estos ataques, aunque ninguna es una protección definitiva. Si el router tiene agujeros de seguridad que el fabricante no ha parchado será imposible asegurar que está protegido de forma completa. Estas son las capas de protección que puedes añadir:

  • Instala actualizaciones del firmware. Asegúrate, al menos, de que tienes instalada la última versión del mismo, o habilita las actualizaciones automáticas si tu router lo permite. Por desgracia eso no ocurre en la mayoría.
  • Desactiva el acceso remoto a la página web de administración del router.
  • Cambia la contraseña de acceso a la página web de administración del router.
  • Deshabilita UPnP, que ha dado problemas de vulnerabilidad en el pasado y sigue dándolos. ¿Por qué? Porque se fía de todas las peticiones que salen a Internet desde tu red local.

Otra capa de seguridad con la que hay que contar son las Extensiones de seguridad para el Sistema de Nombres de Dominio o DNSSEC. Se trata de un conjunto de especificaciones de la Internet Engineering Task Force o IETF para asegurar cierto tipo de información proporcionada por el sistema DNS que se usa en el protocolo de Internet.

DNSSEC debe proporcionar seguridad adicional, por supuesto, pero no se trata de una panacea. Cada sistema operativo cliente se fía del servidor DNS que tiene configurado, y esto significa que el DNS malicioso podría presentar un log DNS sin información DNSSEC. O peor aún, que el servidor malicioso sí cuenta con información DNSSEC y que la IP a la que redirige cada petición web es legítima.

Esperamos que toda esta información te resulte útil para aumentar la seguridad de tu router doméstico, aunque insistimos: Al igual que pasa en el caso de Android, hasta que los fabricantes no se pongan las pilas pasará mucho tiempo hasta que la seguridad de estos aparatos mejore.

Para ti
Queremos saber tu opinión. ¡Comenta!