Trabajo inteligente y seguridad: cuando los routers se convierten en el eslabón débil

Los routers domésticos y SOHO suelen ser inseguros, pero las empresas pueden defenderse de los ataques a los routers de los empleados con un trabajo inteligente. Kasperksy explica cómo.

0
14

Si hablamos de ciberseguridad, el peor aspecto de la transición masiva al trabajo inteligente ha sido la pérdida de control sobre las redes locales a las que se conectan los puestos de trabajo. Especialmente peligrosos en este sentido son los routers domésticos de los empleados, que han sustituido esencialmente la infraestructura de red que normalmente gestionan los especialistas en informática.

En la Conferencia RSA 2021, en su charla titulada All your LANs are belong to us. Los investigadores de seguridad Charl van der Walt y Wicus Ross explicaron cómo los ciberdelincuentes pueden atacar los ordenadores de las empresas utilizando los routers.

Aunque las políticas de seguridad corporativas se encargan de actualizar el sistema operativo de todos los ordenadores de la empresa y el resto de configuraciones relevantes, los routers domésticos seguirían quedando fuera del control de los administradores de sistemas corporativos. En lo que respecta a los entornos de trabajo remotos, los responsables de la seguridad informática de la empresa no pueden saber qué otros dispositivos están conectados a una red, si el firmware del router está actualizado y si la contraseña que lo protege es fuerte (y si el usuario sigue utilizando la contraseña de fábrica).

Esta falta de control es sólo una parte del problema. Un gran número de routers domésticos y SOHO tienen vulnerabilidades conocidas que los ciberdelincuentes pueden explotar para obtener el control total del dispositivo, lo que ha dado lugar a enormes redes de bots de IoT como Mirai, que agrupan decenas y a veces incluso cientos de miles de routers hackeados para ser utilizados con diversos fines.

A este respecto, conviene recordar que cada router es esencialmente un pequeño ordenador que ejecuta alguna distribución de Linux. Los ciberdelincuentes pueden hacer mucho con un router hackeado. Kaspersky ofrece algunos ejemplos extraídos del informe de los dos investigadores.

Hackear una conexión VPN
La principal herramienta que utilizan las empresas para compensar los entornos de red poco fiables de los trabajadores inteligentes es utilizar una VPN (red privada virtual). Las VPN ofrecen un canal cifrado a través del cual los datos viajan entre el ordenador y la infraestructura corporativa.

Muchas empresas utilizan las VPN en modo de túnel dividido: el tráfico que va a los servidores de la empresa (como la conexión RDP, Remote Desktop Protocol) pasa por la VPN y el resto del tráfico va por la red pública sin cifrar, lo que normalmente es una buena opción. Sin embargo, un ciberdelincuente que haya tomado el control del router puede crear una ruta DHCP (Dynamic Host Configuration Protocol) y redirigir el tráfico RDP a su servidor. Aunque esto no les permite descifrar la VPN, pueden crear una pantalla de inicio de sesión falsa para interceptar las credenciales de conexión RDP. A los estafadores de ransomware les encanta utilizar los protocolos RDP.

Carga de un sistema operativo externo
Otro escenario de ataque inteligente en los routers hackeados implica la explotación de la funcionalidad PXE (Preboot Execution Environment). Las tarjetas de red modernas utilizan PXE para cargar un sistema operativo en los ordenadores de la red. Normalmente, la función está desactivada, pero algunas empresas la utilizan, por ejemplo, para reiniciar a distancia el sistema operativo de un empleado en caso de avería.

Un ciberdelincuente con control del servidor DHCP de un router puede proporcionar a la tarjeta de red de una estación de trabajo la dirección de un sistema modificado para su control remoto. Es poco probable que los empleados se den cuenta y sepan lo que realmente está pasando, especialmente si se distraen con las notificaciones para instalar actualizaciones. Mientras tanto, los ciberdelincuentes tienen acceso total al sistema de archivos.

Cómo mantenerse a salvo
Para proteger los ordenadores de los empleados de lo que hemos descrito y de técnicas de ataque similares, Kaspersky recomienda seguir estos consejos:

  • Opte por el tunneling forzado en lugar de la tunneling dividido. Muchas soluciones corporativas de VPN permiten el túnel forzado con excepciones (por defecto, todo el tráfico va a través de un canal cifrado, con recursos específicos que pueden eludir la VPN).
  • Desactive el entorno de ejecución previo al arranque en la configuración de la BIOS.
    Cifrar completamente el disco duro de su ordenador (con BitLocker en Windows, por ejemplo)
  • Analizar la seguridad de los routers de los empleados es vital para aumentar el nivel de seguridad de cualquier infraestructura empresarial que permita el trabajo remoto o híbrido.
  • En algunas empresas, el personal de soporte técnico da algunas sugerencias a los empleados sobre la configuración óptima del router doméstico. Otras empresas distribuyen routers preconfigurados a los empleados que trabajan de forma inteligente y permiten que los empleados se conecten a los recursos de la empresa sólo a través de esos routers.
  • Además, la formación de los empleados para contrarrestar las amenazas modernas es fundamental para la seguridad de la red.

Redacción CambioDigital OnLine – Fuente: Kaspersky

Artículo anteriorLos hackers atacan de nuevo
Artículo siguienteEstados Unidos equipara la prioridad del ‘ransomware’ a la del terrorismo