VPNFilter, el malware ruso que pone en peligro los routers, es peor de lo que se esperaba

Los malware siempre son un peligro, algunos más peligrosos que otros, sin embargo el que hoy es noticia y ha logrado alertar hasta al FBI es el virus ruso VPNFilter. Esta amenaza fue descubierta por las compañías de cyberseguridad Cisco y Symantec,  y se trata de un virus que está afectando actualmente a equipos de routers en unos 50 países.

Al parecer las cifras de equipos afectados ha superado los que nunca antes se habían conseguido hasta la fecha y aunque inicialmente se creía que el fin del Malware era atacar los equipos de switches y NAS de uso doméstico y de pequeñas empresas, al parecer va mucho más allá que eso. La evolución de este virus nunca antes se había visto, permitiendo manipular absolutamente todo lo que pasa por el dispositivo que se encuentre comprometido.

Esto quiere decir que puede realizar modificaciones incluso de los estados de cuentas  bancarias, para evitar que los titulares noten algún tipo de irregularidad en sus cuentas, mientras realizan el desvío de sus fondos. El hecho de que VPNFilter pueda modificar todo lo que entra y sale del dispositivo es realmente alarmante, pues la credibilidad de la información es completamente nula.

Algo que lo hace aún más peligroso, es el hecho de que al infectar el router todos los equipos con los que comparte conexión son vulnerables y la lista de los equipos infectados crece cada vez más, a continuación te mencionaremos, los que, hasta hoy están afectados:

• Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U.
• D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N.
• Huawei: HG8245.
• Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N.
• Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5,
• Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50.
• QNAP: TS251, TS439 Pro, otros modelos que ejecutan software QTS.
• TP-Link: R600VPN, TL-WR741ND, TL-WR841N.
• Ubiquiti: NSM2, PBE M5.
• Upvel: loa modelos son aún desconocidos.
• ZTE: ZXHN H108N.

Si tu router está entre este listado, es importante que tomes las precauciones necesarias pues la información que se maneja es que el malware no está tratando de recopilar tráfico, más bien está tras algunos pequeños detalles más específicos como lo son datos de contraseñas y credenciales.

Al parecer ya el FBI ha realizado el decomiso de un servidor control y así mismo de un centro de comando, sin embargo la botnet sigue activa, así que la vulnerabilidad continúa.

Tal vez si tienes un routers de la lista ya mencionada te estés preguntando qué puedes hacer, principalmente el FBI recomienda reiniciar los equipos, como una medida de protección, sin embargo no pareciera ser esta sola la solución, pues se trata de un virus persistente, esto quiere decir que tiene la capacidad de arrancar cuando los equipos se reinician, así que, llevar a cabo esta acción no da garantía de eliminar la amenaza, solo deja al equipo fuera del control de los cyberdelincuentes por muy poco tiempo.

Por lo que la recomendación es más bien reiniciar, resetear y actualizar el firmware, modificando lo más pronto posible las contraseñas que traen los equipos por defecto, es decir, resetear el equipo de su configuración de fábrica, para hacerlo este tipo de equipos, por lo general cuentan con un pequeño agujero, en donde se puede realizar dicha operación insertando una aguja o clip en dicho orificio, con lo que podrás actualizar el Firmware con la última versión y así poder realizar el cambio de la contraseña de fábrica.

Otra recomendación que se debe tomar en cuenta es la de modificar la configuración del router y evitar que este pueda ser operado de manera remota, esto quiere decir que se evite que alguien pueda controlar el equipo desde otro ordenador conectado por internet.

Hasta los momentos esto es lo único que se puede hacer para evitar que los cyberdelincuentes, se salgan con la suya, y aunque es una solución muy efectiva, sigue siendo alarmante los niveles de evolución de los malware que ponen en peligro nuestra privacidad y cualquier tipo de información que se maneje desde nuestros ordenadores y dispositivos móviles.