Piratas informáticos rusos han alcanzado el núcleo de la informática doméstica. No son los usuarios su objetivo final, pero un ciberataque masivo con conexiones atribuidas al entorno de los servicios secretos rusos ha infectado a al menos medio millón de routers de hogares o medianas empresas en 54 países.
El FBI dio por controlada la amenaza después de encender todas las alarmas contra VPNFilter, la inusitada acometida de un programa malicioso difundido a gran escala capaz de tomar el control del router, de apagarlo, de espiar su actividad y robar su información o de hacerle consumir publicidad de forma automatizada o tergiversada, pero sobre todo de utilizarlo como vehículo de asalto en una operación de mucho más alto nivel.
El tipo de acometida hace inferir la posibilidad de que miles y miles de terminales fueran contaminados para ser incluidos en una botnet, o red de robots informáticos, una red zombi en la que pueden hacer básicamente todo aquello que los cibercriminales quieran.
Ahí los dispositivos infectados se comportan como zombis y bajo control remoto pueden ejecutar un «ataque distribuido de denegación de servicio (DDoS)». Básicamente, consiste en hacer peticiones de forma coordinada y masiva a determinados sitios o plataformas para saturarlas y que no sean capaces de atender las peticiones legítimas, dañando así económicamente a las organizaciones.
El método, descubierto por la seguridad de la multinacional tecnológica Cisco, es sorprendente y novedoso por su insólita capacidad de acceso al corazón de los hogares y a las redes informáticas locales, por el uso nada frecuente de los routers como vehículo del mal, tal vez no tanto los de usuarios domésticos como los de pequeñas y medianas empresas.
El Instituto Nacional de Ciberseguridad (Incibe) en España también se hizo eco la semana pasada de la importancia del ataque, que fue detectado primero por varias agencias de seguridad online. Aunque, según expertos consultados, no se trata del ataque más masivo registrado de los últimos tiempos, tiene la particularidad de llega al corazón doméstico.
¿Quién está detrás?
Según la investigación policial, detrás del ataque parece estar Fancy Bear, el mismo grupo ruso que atacó la seguridad del gobierno francés de Macron. Supuestamente, está financiado desde los sistemas de inteligencia rusos y entre sus logros más reconocidos está el ataque al Partido Demócrata estadounidense en las elecciones de 2016, y que acabó con documentos internos filtrados desde Wikileaks.
Otros grandes ataques asociados de Fancy Bear incluyen el hackeo de los sistemas del Comité Olímpico Internacional (COI) en 2018 en las olimpiadas de invierno de Pieonchang (Corea del Sur); otros relativamente infructuosos a partidos políticos franceses y alemanes durante las últimas elecciones en ambos países, así como a varios ministerios de Países Bajos durante 2017.
Otros medios estadounidenses atribuyen la creación de ese virus al grupo de cibercriminales APT28, junto con Fancy Bear, también vinculado en 2016 con las pruebas de dopaje de las deportistas Simone Biles y las hermanas Venus y Serena Williams.
Déficits de seguridad
El vicepresidente del Consejo General de Colegios de Ingeniería Informática de España, Fernando Suárez, asegura que «la ciberdelincuencia mueve más dinero que el narcotráfico: el oro de hoy son los datos; hay muchos intereses a muchos niveles».
Al tiempo que cada vez hay más inversión en seguridad, las pymes, por ejemplo en España, cuentan con menos medidas de seguridad informática. De todos modos, Suárez destaca que las carencias más graves se dan en los usuarios particulares. Y «los routers son el sistema por donde pasan todos nuestros datos en internet», incide. Suárez explica que es posible que en este momento ya se hayan robado datos: «El gran problema es saber cuánto tiempo han estado expuestos los equipos», se pregunta.
Forma parte de un sofisticado sistema en tres pasos que busca infiltrarse en redes empresariales, gubernamentales y de ciudadanos de a pie con el objetivo de copiar datos de navegación y piezas de seguridad clave, aseguran los investigadores. La alerta llega tras detectarse un malware (programa malicioso) que podría recopilar información o bloquear el tráfico de internet.
Este ataque de hackers proviene, supuestamente, de Rusia. Ese VPNFilter, como se ha denominado el malware, funciona en routers domésticos. «Parece que buscan atacar de forma masiva a través del sistema de pequeños usuarios», destacan expertos. Esa fuerza de medio millón de equipos podría dejar a zonas sin internet o atacar a instituciones.
Reiniciar el router
Aunque el reinicio del dispositivo ha sido el principal consejo que brinda el FBI a «cualquier propietario» de un router doméstico, paradójicamente, este procedimiento tiene una bajísima eficacia, según expertos consultados.
Fernando Suárez ejemplifica la situación como si alguien lograse acceder a nuestra casa y luego se dejase la puerta abierta. Cerrarla no privaría al ladrón de volver a forzarla y abrirla. Por tanto, el experto recomienda «cambiar la puerta». Esto es, modificar la configuración del router, eligiendo lenguajes y protocolos más «encriptados» y, para los más neófitos, elegir una clave de seguridad del router más compleja (muchas contraseñas siguen siendo vulnerables).
Además, asegura que actualizar los programas que usamos a menudo con las nuevas versiones -también de antivirus- dota de mayor seguridad a los equipos. Sin embargo, en un comunicado, el FBI ha recomendado el reinicio de estos dispositivos, con especial hincapié en los de pequeñas empresas y los domésticos.
Existe un posicionamiento estratégico de diferentes países en lo que se conoce como las ciberguerras. El ingeniero informático Fernando Suárez alude a la prohibición en Estados Unidos de algunos teléfonos móviles de marcas chinas como Huawei o ZTE por ser sospechosos de incluir mecanismos de espionaje. Proteger de ciberataques un país es complejo, porque requiere preservar la vulnerabilidad -como se está viendo- del escalón más bajo: el usuario.
«Hay intentos de ciberataque todos los días», explica el informático, «e irá a más porque cada día hay más dispositivos y más valor, porque se implanta el internet de las cosas o los asistentes de voz que tienen Google, Amazon o Apple, para ayudar en casa con tareas sencillas.
De hecho, hay una página que muestra en tiempo real, y como si se tratase de ataques bélicos, los ciberataques en el mundo (www.digitalattackmap). Hace un año se registró a nivel mundial el ataque de WannaCry, que usó el cripto-gusano así llamado dirigido al sistema operativo Windows de Microsoft.
