La seguridad de su enrutador apesta: así es como se soluciona

La mayoría de los enrutadores Wi-Fi y las puertas de enlace de red que utilizan los clientes domésticos no son seguros en absoluto. Algunos son tan vulnerables a los ataques que deberían descartarse, dijo un experto en seguridad en la conferencia de hackers HOPE X en Nueva York.

“Si se vende un enrutador en [a well-known retail electronics chain with a blue-and-yellow logo]no quieres comprarlo”, dijo a la audiencia el consultor informático independiente Michael Horowitz.

“Si su proveedor de servicios de Internet le proporciona su enrutador [ISP]tampoco quieres usarlo, porque regalan millones de ellos, y eso los convierte en un objetivo principal tanto para las agencias de espionaje como para los malos”, agregó.

Horowitz recomendó que los consumidores conscientes de la seguridad se actualicen a los enrutadores comerciales destinados a las pequeñas empresas, o al menos separen sus módems y enrutadores en dos dispositivos separados. (Muchas unidades de “puerta de enlace”, a menudo suministradas por ISP, pueden actuar como ambas). Si alguna de esas opciones falla, Horowitz proporcionó una lista de precauciones que los usuarios podrían tomar.

Problemas con los enrutadores de consumo

Los enrutadores son los caballos de batalla esenciales pero no anunciados de las redes informáticas modernas. Sin embargo, pocos usuarios domésticos se dan cuenta de que los enrutadores son, de hecho, computadoras completas, con sus propios sistemas operativos, software y vulnerabilidades.

“Un enrutador comprometido puede espiarlo”, dijo Horowitz, y explicó que un enrutador bajo el control de un atacante puede organizar un ataque de intermediario, alterar datos no cifrados o enviar al usuario a sitios web “gemelos malvados” disfrazados con tanta frecuencia: utilizó webmail o portales de banca en línea.

Muchos dispositivos de puerta de enlace para el hogar de nivel de consumidor no notifican a los usuarios si las actualizaciones de firmware están disponibles y cuándo, a pesar de que esas actualizaciones son esenciales para reparar las fallas de seguridad, señaló Horowitz. Algunos otros dispositivos no aceptarán contraseñas de más de 16 caracteres, la longitud mínima para la seguridad de las contraseñas en la actualidad.

Pwn y juego universales

Millones de enrutadores en todo el mundo, incluso algunos de los mejores, tienen habilitado el protocolo de red Universal Plug and Play (UPnP) en los puertos conectados a Internet, lo que los expone a ataques externos.

“UPnP fue diseñado para LAN [local area networks], y como tal, no tiene seguridad. En sí mismo, no es gran cosa”, dijo Horowitz.

Pero, agregó, “UPnP en Internet es como someterse a una cirugía y que el médico trabaje en la pierna equivocada”.

Otro problema es el Protocolo de administración de redes domésticas (HNAP), una herramienta de administración que se encuentra en algunos enrutadores de nivel de consumidor más antiguos que transmite información confidencial sobre el enrutador a través de la Web en https://[router IP address]/HNAP1/, y otorga control total a los usuarios remotos que proporcionan nombres de usuario y contraseñas administrativas (que muchos usuarios nunca cambian de los valores predeterminados de fábrica).

En 2014, un gusano de enrutador llamado TheMoon usó el protocolo HNAP para identificar enrutadores vulnerables de la marca Linksys a los que podría propagarse. (Linksys emitió rápidamente un parche de firmware).

“Tan pronto como llegas a casa, esto es algo que quieres hacer con todos tus enrutadores”, dijo Horowitz a la multitud de expertos en tecnología. “Vaya a /HNAP1/ y, con suerte, no obtendrá ninguna respuesta, si eso es lo único bueno. Francamente, si recibe alguna respuesta, desecharía el enrutador”.

La amenaza WPS

Lo peor de todo es la configuración protegida Wi-Fi (WPS), una función fácil de usar que permite a los usuarios omitir la contraseña de la red y conectar dispositivos a una red Wi-Fi simplemente ingresando un PIN de ocho dígitos impreso en el enrutador. Incluso si se cambia la contraseña de la red o el nombre de la red, el PIN sigue siendo válido.

“Este es un gran problema de seguridad eliminado”, dijo Horowitz. “Ese número de ocho dígitos te llevará al [router] no importa qué. Entonces, un plomero viene a su casa, le da la vuelta al enrutador, toma una foto de la parte inferior y ahora puede acceder a su red para siempre”.

Ese PIN de ocho dígitos ni siquiera son realmente ocho dígitos, explicó Horowitz. En realidad, son siete dígitos más un dígito de suma de verificación final. Los primeros cuatro dígitos se validan como una secuencia y los tres últimos como otra, lo que da como resultado solo 11 000 códigos posibles en lugar de 10 millones.

“Si WPS está activo, puede ingresar al enrutador”, dijo Horowitz. “Solo necesita hacer 11,000 conjeturas”, una tarea trivial para la mayoría de las computadoras y teléfonos inteligentes modernos.

Luego, está el puerto de red 32764, que el investigador de seguridad francés Eloi Vanderbeken descubrió en 2013 que se había dejado abierto en silencio en los enrutadores de puerta de enlace vendidos por varias marcas importantes.

Usando el puerto 32764, cualquier persona en una red local, que incluye el ISP de un usuario, podría tomar el control administrativo total de un enrutador e incluso realizar un restablecimiento de fábrica, sin una contraseña.

El puerto se cerró en la mayoría de los dispositivos afectados luego de las revelaciones de Vanderbeken, pero luego descubrió que podía reabrirse fácilmente con un paquete de datos especialmente diseñado que podía enviarse desde un ISP.

“Esto obviamente lo hizo una agencia de espionaje, es increíble”, dijo Horowitz. “Fue deliberado, no hay duda al respecto”.

Cómo bloquear el enrutador de su hogar

El primer paso hacia la seguridad del enrutador doméstico, dijo Horowitz, es asegurarse de que el enrutador y el cable módem no sean un solo dispositivo. Muchos ISP arriendan estos dispositivos de doble propósito a los clientes, pero esos clientes tendrán poco control sobre sus propias redes domésticas. (Si necesita obtener su propio módem, consulte nuestras recomendaciones sobre el mejor módem por cable).

“Si le dieran una sola caja, que creo que la mayoría de la gente llama puerta de enlace”, dijo Horowitz, “debería poder ponerse en contacto con el ISP y pedirles que simplifiquen la caja para que actúe como un simple módem. Entonces puede añádele tu propio enrutador”.

A continuación, Horowitz recomendó que los clientes compraran un enrutador Wi-Fi/Ethernet comercial de gama baja, como el Pepwave Surf SOHO que se vende al por menor por alrededor de $ 200 (aunque tenga cuidado con los especuladores de precios), en lugar de un enrutador fácil de usar que puede costar tan solo $ 40.

Es poco probable que los enrutadores de grado comercial tengan UPnP o WPS habilitados. El Pepwave, señaló Horowitz, ofrece funciones adicionales, como reversiones de firmware en caso de que una actualización de firmware salga mal. (Muchos enrutadores de consumo de gama alta, especialmente aquellos destinados a los jugadores, también ofrecen esto).

Independientemente de si un enrutador es comercial o de consumo, hay varias cosas, que varían de fáciles a difíciles, que los administradores de redes domésticas pueden hacer para asegurarse de que sus enrutadores sean más seguros.

Soluciones fáciles para el enrutador inalámbrico de su hogar

Cambiar las credenciales administrativas del nombre de usuario y la contraseña predeterminados. Son las primeras cosas que intentará un atacante. El manual de instrucciones de su enrutador debería mostrarle cómo hacer esto. Si no es así, entonces búscalo en Google.

Haga que la contraseña sea larga, segura y única, y que no se parezca en nada a la contraseña normal para acceder a la red Wi-Fi.

Cambiar el nombre de la red o SSID de “Netgear”, “Linksys” o cualquiera que sea el valor predeterminado a algo único, pero no le dé un nombre que lo identifique.

“Si vive en un edificio de apartamentos en el apartamento 3G, no llame a su SSID ‘Apartamento 3G'”, bromeó Horowitz. “Llámalo ‘Apartamento 5F'”.

Activar actualizaciones automáticas de firmware si están disponibles. Los enrutadores más nuevos, incluida la mayoría de los enrutadores de malla, actualizarán automáticamente el firmware del enrutador.

Habilitar WPA2 inalámbrico cifrado para que solo los usuarios autorizados puedan acceder a su red. Si su enrutador solo es compatible con el antiguo estándar WEP, es hora de un nuevo enrutador.

Habilite el nuevo estándar de encriptación WPA3 si el enrutador lo admite. Sin embargo, a partir de mediados de 2021, solo los enrutadores y dispositivos cliente más nuevos (PC, dispositivos móviles, dispositivos domésticos inteligentes) lo hacen.

Deshabilitar la configuración protegida de Wi-Fi si tu enrutador te lo permite.

Configurar una red Wi-Fi para invitados y ofrecer su uso a los visitantes, si su enrutador tiene esa función. Si es posible, configure la red de invitados para que se apague automáticamente después de un período de tiempo determinado.

“Puede encender su red de invitados y configurar un temporizador, y tres horas más tarde, se apaga solo”, dijo Horowitz. “Esa es una característica de seguridad muy buena”.

Si tiene muchos dispositivos de hogar inteligente o de Internet de las cosas, es probable que muchos de ellos no sean muy seguros. Conéctelos a su red Wi-Fi de invitado en lugar de a su red principal para minimizar el daño resultante de cualquier posible compromiso de un dispositivo IoT.

No utilice la gestión de enrutadores basada en la nube si el fabricante de su enrutador lo ofrece. En su lugar, averigüe si puede desactivar esa función.

“Esta es una muy mala idea”, dijo Horowitz. “Si su enrutador ofrece eso, no lo haría, porque ahora está confiando en otra persona entre usted y su enrutador”.

Muchos sistemas de “enrutador de malla”, como Nest Wifi y Eero, dependen completamente de la nube y pueden interactuar con el usuario solo a través de aplicaciones de teléfonos inteligentes basadas en la nube.

Si bien esos modelos ofrecen mejoras de seguridad en otras áreas, como las actualizaciones automáticas de firmware, podría valer la pena buscar un enrutador de malla que permita el acceso administrativo local, como Netgear Orbi.

Arreglos de enrutador doméstico moderadamente difíciles

Instalar nuevo firmware cuando esté disponible. Así es como los fabricantes de enrutadores instalan parches de seguridad. Inicie sesión en la interfaz administrativa de su enrutador de forma rutinaria para verificar: aquí hay una guía con más información.

Con algunas marcas, es posible que deba consultar el sitio web del fabricante para obtener actualizaciones de firmware. Pero tenga un enrutador de respaldo a mano si algo sale mal. Algunos enrutadores también le permiten hacer una copia de seguridad del firmware actual antes de instalar una actualización.

Configure su enrutador para usar la banda de 5 GHz para Wi-Fi en lugar de la banda más estándar de 2,4 GHz, si es posible, y si todos sus dispositivos son compatibles.

“La banda de 5 GHz no viaja tan lejos como la banda de 2,4 GHz”, dijo Horowitz. “Entonces, si hay algún tipo malo en su vecindario a una o dos cuadras de distancia, es posible que vea su red de 2,4 GHz, pero es posible que no vea su red de 5 GHz”.

Deshabilitar el acceso administrativo remoto y deshabilitar el acceso administrativo a través de Wi-Fi . Los administradores deben conectarse a los enrutadores solo a través de Ethernet con cable. (Nuevamente, esto no será posible con muchos enrutadores de malla).

Consejos avanzados de seguridad del enrutador para usuarios expertos en tecnología

Cambiar la configuración de la interfaz web administrativa , si su enrutador lo permite. Idealmente, la interfaz debería imponer una conexión HTTPS segura a través de un puerto no estándar, de modo que la URL para el acceso administrativo sea algo así como, para usar el método de Horowitz. example”https://192.168.1.1:82″ en lugar del más estándar “https://192.168.1.1”, que por defecto usa el puerto 80 estándar de Internet.

Usar el modo privado o de incógnito de un navegador al acceder a la interfaz administrativa para que la nueva URL que configuró en el paso anterior no se guarde en el historial del navegador.

Deshabilitar PING, Telnet, SSH, UPnP y HNAP , si es posible. Todos estos son protocolos de acceso remoto. En lugar de configurar sus puertos relevantes como “cerrados”, configúrelos como “sigilosos” para que no se responda a comunicaciones externas no solicitadas que puedan provenir de atacantes que sondean su red.

“Cada enrutador tiene la opción de no responder a los comandos PING”, dijo Horowitz. “Es absolutamente algo que desea activar: una excelente función de seguridad. Lo ayuda a ocultarse. Por supuesto, no se esconderá de su ISP, pero se esconderá de un tipo en Rusia o China”.

Cambiar el sistema de nombres de dominio (DNS) del enrutador servidor del propio servidor del ISP a uno mantenido por OpenDNS (208.67.220.220, 208.67.222.222), Google Public DNS (8.8.8.8, 8.8.4.4) o Cloudflare (1.1.1.1, 1.0.0.1).

Si está utilizando IPv6, las direcciones OpenDNS correspondientes son 2620:0:ccc::2 y 2620:0:ccd::2, las de Google son 2001:4860:4860::8888 y 2001:4860:4860:: 8844, y los de Cloudflare son 2606:4700:4700::1111 y 2606:4700:4700::1001.

Utilizar una red privada virtual (VPN) enrutador para complementar o reemplazar su enrutador existente y encriptar todo el tráfico de su red.

“Cuando digo enrutador VPN, me refiero a un enrutador que puede ser un cliente VPN”, dijo Horowitz. “Luego, te registras con alguna compañía de VPN, y todo lo que envías a través de ese enrutador pasa por su red. Esta es una excelente manera de ocultar lo que estás haciendo a tu proveedor de servicios de Internet”.

Muchos enrutadores Wi-Fi domésticos se pueden “flashear” para ejecutar firmware de código abierto, como el Firmware DD-WRT , que a su vez soporta el protocolo OpenVPN de forma nativa. La mayoría de los mejores servicios VPN también son compatibles con OpenVPN y brindan instrucciones sobre cómo configurar enrutadores de código abierto para usarlos.

Finalmente, use Shields Up de Gibson Research Corp. servicio de escaneo de puertos en https://www.grc.com/shieldsup . Probará su enrutador en busca de cientos de vulnerabilidades comunes, la mayoría de las cuales pueden ser mitigadas por el administrador del enrutador.

[This story was originally published in July 2014 and has been updated with new information ever since.]

Related Posts