El FBI recomienda actualizar y reiniciar los 'routers' ante el 'malware' VPN Filter

El FBI recomienda actualizar y reiniciar los 'routers' ante el 'malware' VPN Filter

España no es de los países más afectados por un ataque de programas malignos que proviene de Rusia

ARANTZA HERRANZMadrid

El FBI ha pedido a todos los que tienen un 'router' doméstico que reinicien este equipo. Se pretende así evitar propagar y verse afectado por un 'malware' llamado VPN Filter. No basta con apagar y encender el enrutador, sino que se recomienda a todos los usuarios reiniciar sus equipos en modo fábrica y actualizarlos con los últimos parches de seguridad tan pronto como sea posible.

Según el FBI, este programa maligno podría estar relacionado con un grupo conectado con el ejército ruso. De hecho, y aunque la infección afecta a más de 54 países, Ucrania ha sufrido el mayor pico de infecciones, con un elevado incremento durante la primera quincena de mayo. El 'malware' tiene similitudes de código con BlackEnergy, un 'malware' que ya fue responsable de múltiples ataques a gran escala a dispositivos en Ucrania.

Fue el grupo de seguridad Cisco Talos la que alertó de este programa maligno, que se calcula que podría haber afectado a 500.000 dispositivos en todo el mundo, especialmente de los fabricantes Linksys, Netgear, TP-Link y MikroTik. Pese a que el FBI asegura haber neutralizado una parte fundamental de la red que está detrás de este ataque, la agencia aún recomienda que todos reinicien su 'router', independientemente del fabricante.

Aunque pueda parecer una medida simple, reiniciar el enrutador hace que el ataque, que consta de varias fases, empiece a quedar neutralizado. Es decir, en un primer paso, el programa maligno se tiene que instalar en el 'router' para permitir, en una segunda fase, que el atacante pueda tener acceso a él. Pero si se reinicia, el 'malware' se desconecta y queda desactivado.

Si tiene éxito, el atacante podría compartir datos entre los dispositivos y coordinar un ataque masivo utilizando los equipos como nodos. Al incluir un 'kill switch' (interruptor de apagado), también podría destruir los equipos dejándolos inoperativos y eliminar el acceso a internet para cientos de miles de usuarios, además de inspeccionar el tráfico y robar datos confidenciales.

El FBI asegura que tiene control sobre parte de la red, por lo que aquellos 'routers' que intenten acceder a esa segunda etapa del ataque enviarán información a la agencia en lugar de a los piratas informáticos. Pese a que el enrutador es el dispositivo que nos permite acceder a internet con cualquier equipo, son con frecuencia los grandes olvidados en el cuidado y mantenimiento de nuestra seguridad. Una vez de que han sido instalados, rara vez se les presta atención, salvo que la conexión empiece a fallar y necesitemos comprobar que funciona.

Teniendo en cuenta que son la puerta de entrada a internet y que son los grandes descuidados de los hogares, los piratas informáticos han visto en estos equipos un foco de ataque fácil sobre el que construir redes masivas de ordenadores con los que controlar y hacer diversos tipos de ataques.

Desde Rusia con amor

El FBI insinúa en su alerta que el ataque de 'malware' VPN Filter podría ser obra de Sofacy Group, también conocido como APT28, Sandworm, X Agent, Pawn storm, Fancy Bear y Sednit. Según el Departamento de Justicia estadounidense, Fancy Bear es un grupo de piratas informáticos que está siendo financiado por Rusia y que actúa bajo las órdenes del presidente ruso, Vladimir Putin, y su personal relacionado con el ala de inteligencia.

A principios de 2017, se reveló en una investigación conjunta realizada por la CIA en asociación con el FBI que Sofacy Group apuntó al Comité Nacional Demócrata durante la campaña de las elecciones presidenciales en 2016. Según esta investigación, este grupo también participó en la campaña para lograr mostrar al candidato republicano y magnate Donald Trump como presidente de los Estados Unidos, en lugar de la entonces candidata demócrata Hillary Clinton.

Los expertos estiman también que Fancy Bear ha tenido éxito en dispositivos infectados con el 'malware' llamado VPN Filter en más de 50 países. Entre las sospechas de sus actividades estaría como supuesto objetivo más inmediato lograr un ataque durante la final de la Champions League, que ganó el Real Madrid, celebrada en el pasado día 2 de junio en Ucrania.

Fotos

Vídeos