Los dispositivos IoT son utilizados para realizar ataques de cambio de DNS a los routers
Desde hace varios años, los piratas informáticos están llevando a cabo una serie de ataques contra los routers domésticos de manera que, aprovechando puertas traseras, vulnerabilidades o una redirección de las solicitudes DNS, estos puedan llevar a cabo diferentes ataques contra los usuarios. Generalmente, estos ataques informáticos buscan apoderarse de los datos privados de los usuarios (contraseñas, PIN, etc), aunque también pueden ser utilizados como vía de entrada para un ataque mucho mayor con herramientas de malware más agresivas.
Los dispositivos móviles y el Internet de las cosas cada vez tienen mayor protagonismo en la vida diaria de los usuarios. Los piratas informáticos son conscientes de ello, por lo que cada vez es más frecuente ver cómo se utilizan estos dispositivos como vía de entrada para llevar a cabo ciertas infecciones.
Recientemente, los laboratorios de Trend Micro han detectado una nueva amenaza en forma de Javascript, llamada JS_Jiton que busca ejecutarse en dispositivos móviles (smartphones, tablets, etc) y en dispositivos IoT conectados a Internet de manera que se envíen una serie de rutinas al router con el fin de modificar sus servidores DNS por defecto por otros controlados por estos piratas informáticos.
Cada router es diferente, por lo que es complicado crear una herramienta universal que afecte a todos y permita cambiar los DNS en todos ellos, sin embargo, JS_Jiton cuenta con las rutinas de los fabricantes más vendidos en el mercado, como D-Link, TP-LINK y ZTE. Este script malicioso cuenta con un gran número de usuarios y contraseñas utilizados por defecto en dichos routers con el fin de poder iniciar sesión en ellos para realizar los cambios correspondientes.
Los piratas informáticos realizan constantemente cambios en el malware ofuscando el código JavaScript y corrigiendo pequeños fallos que aparecen en él, evitando así los radares de las empresas de seguridad y pudiendo seguir tomando el control del mayor número de routers posible. A día de hoy, más de la mitad de las infecciones de este malware se encuentran localizadas en Taiwan, China y Japón, sin embargo, se han detectado casos en todo el mundo, incluso la cuarta y quinta posición de los países más afectados por Jiton están ocupadas por Estados Unidos y Francia respectivamente.
Cómo proteger los routers de este y otros malware similares
Como hemos dicho, este malware, lo primero que debe hacer es conectarse al router de la víctima mediante fuerza bruta, probando los usuarios y las contraseñas por defecto de estos fabricantes. Por ello, la primera medida de seguridad que debemos aplicar es la de cambiar estos datos por defecto por otros. De esta manera evitaremos que el script pueda iniciar sesión en el router y realizar los cambios para los que ha sido diseñado.
Otra medida de seguridad que debemos tener en cuenta es la de mantener nuestro firmware actualizado a la última versión. De esta manera evitaremos que JS_Jiton pueda hacer uso de un exploit intermedio que aproveche una vulnerabilidad conocida para tomar el control sobre el router.
Debido a la poca protección de los routers y dispositivos de conexión, cada vez es más habitual ver cómo los piratas informáticos se aprovechan de ellos para llevar a cabo sus ataques, por lo que es muy importante mantener estos dispositivos correctamente protegidos de cara a evitar, precisamente, comprometer nuestra red y todos los dispositivos conectados a ella.
¿Qué opinas de los ataques contra los routers de los usuarios domésticos? ¿Crees que tanto los fabricantes como los operadores deberían proteger las configuraciones por defecto de sus routers?