Cómo saber si nuestro router tiene malware y cómo evitarlo
La seguridad de los routers que tenemos en la mayoría de nuestras casas es bastante deficiente y de ahí que aquellos con peores intenciones se estén aprovechando de ello para atacar a una gran cantidad de routers. Aunque nos parezca mentira el mundo de los routers es similar al de los smartphones con la diferencia de que los fabricantes de routers siguen fabricando una gran cantidad de modelos que en ningún momento son actualizados y por lo que quedan expuestos a que sean atacados fácilmente.
Estos atacantes lo que hacen a menudo es tratar de cambiar los DNS de la configuración del servidor del router para que apunten a un servidor DNS malicioso para que cuando el usuario se conecte a un sitio web donde se debe indicar información confidencial importante, como la página web de su banco, este servidor le redirigirá a un sitio de phising que aparentemente sea idéntico al de su banco pero sin embargo nada más lejos de la realidad.
La dirección que se muestra en la barra de dirección puede ser que se muestre con el mimo nombre que la web oficial de su banco, pero por el contrario si nos fijamos bien ésta no tendrá cifrado HTTPS y seguramente no responda a todas las consultas disponibles en el sitio oficial del banco. Al resto, es probable que lo haga de manera lenta, puesto que el DNS malicioso redirigirá las consultas a su DNS por defecto, un síntoma claro de que nuestra conexión puede estar infectada.
Este tipo de ataques también se pueden detectar por la inyección de anuncios en nuestras páginas visitadas, redireccionamientos en resultados de búsquedas o la solicitud de instalar descargas no autorizadas. Otra de las formas de atacar a nuestros routers es mediante el uso de cross-site o solicitud de falsificación (CSRF). De esta manera, un atacante incrusta código JavaScript malicioso en una página web que intentará cambiarla configuración del router, ya que a medida que se ejecuta el código en un dispositivos dentro de la red local, éste puede acceder a la interfaz web que sólo está disponible dentro de la red. Y es que muchos de los routers de los hogares españoles mantienen sus interfaces de administración con los nombres de usuarios y contraseñas con los que cuentan por defecto y que tan fáciles resultan de obtener.
Por lo tanto, una de las señales más claras de que un router ha sido atacado es que las direcciones de su servidor DNS han sido cambiadas. Para saberlo, es necesario entrar en la configuración de su router y comprobar su servidor DNS. Para ello, se tiene que acceder a la página web de configuración del router, iniciar sesión con su nombre de usuario y contraseña, y comprobar la dirección de la puerta de enlace de la conexión de red, un parámetro que puede estar fácilmente accesible desde el menú DNS o bajo la configuración de la conexión a Internet o WAN.
Si el parámetro está marcado como que se ajusta de manera automática indica que no ha sido manipulado, mientras que si está ajustado de forma manual y hay servidores personalizados, esto podría indicar que han sido manipulados y estaríamos ante un problema, salvo que el usuario haya configurado su router para utilizar algunos servidores DNS alternativos de confianza como por ejemplo 8.8.8.8 y 8.8.4.4 para Google DNS o 208.67.222.222 y 208.67.220.220 para OpenDNS.
Pero si por el contrario existen otras direcciones indicadas en estos campos que se desconocen, seguramente estas hayan sido cambiadas por un malware. En caso de duda, siempre se puede realizar una búsqueda por Internet de dichas direcciones para comprobar si son legítimas o no. Las direcciones 0.0.0.0 no nos deben preocupar ya que significa que ese campo está vació y por lo tanto el router está recibiendo de manera automática un servidor DNS.
Los expertos aconsejan comprobar este ajuste de vez en cuando para ver si su router ha sido infectado o no.
Qué hacemos si hay un DNS malicioso configurado
Si al entrar en la configuración de nuestro router detectamos un DNS malicioso configurado lo podemos desactivar indicando que se quiere utilizar el servidor DNS automático de su ISP o introduciendo los servidores DNS de Google u OpenDNS que hemos comentado anteriormente.
No obstante, para endurecer la seguridad de nuestro router contra este tipo de ataques también es recomendable seguir estas recomendaciones:
Instalar actualizaciones de firmware
Deberíamos asegurarnos de que nuestro router tiene el último firmware instalado y comprobar que tiene activado las actualizaciones automáticas, para que llegado el momento de que llegue una nueva actualización por parte del fabricante, ésta se instale en nuestro router de manera automática.
Desactivar acceso remoto
Es recomendable deshabilitar el acceso remoto a las páginas de administración basada en web del router.
Cambiar la contraseñaTambién es conveniente proceder con el cambio de la contraseña de la interfaz de administración del router vía web para que los atacantes no pueden entrar fácilmente con la que viene predeterminada.Desactivar UPnPUPnP es la abreviatura de Universal Plug and Play, una arquitectura de red basada en los protocolos de comunicación ya estandarizados y diseñada para facilitar la conectividad entre los diferentes dispositivos de una red. Aunque en la práctica el uso de UPnP permite olvidarnos, teóricamente, de la tediosa labor de abrir puertos y realizar una configuración específica para cada dispositivo o aplicación que necesite acceso a Internet a través de nuestros router, en el caso de que veamos que existe la posibilidad de que nos hayan infectado, es conveniente desactivarlo.