Routers: el punto débil del trabajo en casa

Desde una perspectiva de ciberseguridad, el peor aspecto del movimiento masivo al teletrabajo ha sido la pérdida de control de los ambientes de red locales de las estaciones de trabajo. Los enrutadores caseros de los empleados representan un riesgo en especial, ya que, en esencia, reemplazaron la infraestructura de red que generalmente está a cargo de los especialistas de TI.

Incluso si las políticas de seguridad corporativa cubrieran la actualización del sistema operativo de todas las computadoras de trabajo, así como el resto de las configuraciones relevantes, los enrutadores caseros seguirían estando más allá del control de los administradores de sistemas.

Esta falta de control es solo parte del problema. Varios enrutadores caseros y SOHO tienen vulnerabilidades conocidas que los cibercriminales pueden explotar para obtener el control completo del dispositivo, lo que resultaría en botnets IoT como Mirai, el cual combina decenas, y a veces cientos, de miles de enrutadores secuestrados para diversos fines.

A este respecto, cabe recordar que cada enrutador es, básicamente, una computadora pequeña, que ejecuta algún tipo de distribución de Linux. Los cibercriminales pueden lograr muchas cosas una vez que secuestran un enrutador. Estos son algunos ejemplos sacados del informe de los investigadores.

Atacar VPN y secuestrar routers

Muchas empresas utilizan VPN en modo de túnel dividido: el tráfico a los servidores de la empresa, como mediante una conexión RDP (protocolo de escritorio remoto), pasa por la VPN; el resto del tráfico pasa por la red pública no cifrada, que en general está bien. Sin embargo, si un cibercriminal controla el enrutador puede crear una ruta DHCP (protocolo de configuración dinámica de host) y redirigir el tráfico del RDP a su propio servidor.

Si bien no lo acerca a descifrar la VPN, sí puede crear una pantalla de inicio de sesión falsa para interceptar las credenciales de conexión al RDP. A los estafadores de ransomware les encanta usar el RDP.

Otro escenario astuto para una ataque con un enrutador secuestrado implica explotar la función PXE (entorno de ejecución de prearranque). Los adaptadores de red modernos utilizan el PXE para cargar un sistema operativo en las computadoras por medio de la red. Por lo general, esta función está desactivada, pero algunas empresas lo utilizan, por ejemplo, para restaurar de manera remota el sistema operativo de un empleado en caso de falla.

Cómo protegerse

Para proteger las computadoras de los empleados de los ataques ya mencionados y de otros, toma estas medidas:

• Elige túnel forzado en lugar de túnel dividido. Muchas soluciones de VPN corporativas permiten el túnel forzado con excepciones (el modo predeterminado es pasar todo el tráfico por un canal cifrado, donde se permite que recursos específicos eviten la VPN).
• Deshabilita el entorno de ejecución de prearranque en las configuraciones de BIOS.
• Cifra por completo el disco duro de la computadora mediante cifrado de disco completo (con BitLocker en Windows, por ejemplo).

Es vital priorizar la seguridad de los enrutadores de los empleados para aumentar el nivel de seguridad de cualquier infraestructura corporativa que incluya trabajo en modo remoto o híbrido.

En GOLSYSTEMS te ofrecemos servicio de ciberseguridad y soluciones para lograr mantener los datos que compartes de tu empresa protegidos de ataques.

Con información de Kaspersky daily