«como-podria-haber-robado-los-secretos-de-tu-empresa-por-100-dolares»:-los-peligros-de-comprar-routers-usados

«Cómo podría haber robado los secretos de tu empresa por 100 dólares»: los peligros de comprar routers usados

Un estudio realizado por investigadores de ESET detectó que se pueden comprar routers de empresas con datos confidenciales, como usuario y contraseña, que pueden servir para cometer ciberdelitos.

Los expertos compraron 18 routers usados ​​y descubrieron que aún se podía acceder a los datos de configuración completos en más de la mitad de los que funcionaban correctamente.

Un router (o “enrutador”) se utiliza para compartir una conexión a Internet entre varios dispositivos a partir de la creación de una red entre equipos (sean hogareños o empresariales), mientras que el módem conecta esa red y los equipos de ella a internet.

“Los routers usados, así como cualquier equipo de comunicaciones, tienen configuraciones que se guardan en memorias del tipo flash, que no se borran al reiniciar el equipo”, explica a Clarín Adolfo Fioranelli, experto en redes y comunicaciones, CEO y fundador de Consultores IT.

“Al comprar un equipo usado que no fue debidamente tratado para borrar sus configuraciones, el dueño nuevo tiene copias de esas configuraciones del anterior, incluyendo reglas de seguridad y contraseñas de los equipos, como así también las redes que atendía, las rutas IP y muchísima información sumamente valiosa para un atacante”, agrega.

El problema parte de una mala gestión de descarte del hardware empresarial: “Existen procesos bien documentados para el desmantelamiento de hardware pero ESET descubrió durante un periodo de investigación y análisis exhaustivo que los routers principales en redes corporativas, a menudo no se limpian antes de retirarlos del servicio y ponerlos a la venta”, asegura el reporte.

Esto deja los datos de configuración críticos a la vista de los ciberdelincuentes y potencialmente expuestos a abusos.

El estudio de ESET

Más de la mitad venían con datos sensibles. Foto: Pexels.

Más de la mitad venían con datos sensibles. Foto: Pexels.
La empresa especialista en ciberseguridad descubrió que el 56% de los dispositivos contenían datos y detalles de configuración a los cuales se podía acceder para tomar datos sensibles.

Entre el material de trabajo, un dispositivo estaba muerto al llegar, por lo que se eliminó de las pruebas, y dos de ellos eran un espejo el uno del otro y se contaron como uno en los resultados de la evaluación: bajo este escenario, de los 16 dispositivos restantes, solo cinco se borraron correctamente y solo dos se blindaron (“hardening”), lo que dificultó el acceso a algunos de los datos.

Sin embargo, para la mayoría de ellos, fue posible acceder a los datos de configuración completos: un verdadero diamante en bruto para los ciberatacantes.

Así, lo correcto en estos casos es que el administrador de los sistemas debe borrar la configuración de forma segura y restablecerla a valores de fábrica para asegurarse que no se acceda a información sensible.

Entre los routers había cuatro dispositivos de Cisco (ASA 5500), tres de Fortinet (serie Fortigate) y 11 de Juniper Networks (Serie SRX Services Gateway).

Un problema contrastable: pruebas en Argentina

El mismo problema, con dispositivos comprados en Argentina. Foto: Shutterstock

El mismo problema, con dispositivos comprados en Argentina. Foto: Shutterstock
Fioranelli hizo la misma prueba en reiteradas ocasiones con routers que se venden en sitios de ecommerce como Mercado Libre. “En mi experiencia, 9 de cada 10 vienen con las configuraciones del dueño anterior y en la mayoría de los casos corresponden a empresas multinacionales o locales de las más importantes”, explica el experto.

Con una inversión muy baja, un atacante podría comprometer seriamente a una empresa grande por ese ‘descuido’ de no borrar la información del equipo antes de su disposición final”, desarrolla.

“Un atacante podría tener información sumamente valiosa y confidencial, por ejemplo, podría saber las reglas de acceso a la red WiFi de la empresa y configurar su equipo para acceder sin autorización o configurar un equipo ‘rogue’”, es decir, que se conecte a la red sin autorización y sin las políticas de seguridad de la red.

Esto puede llevar a que un tercero se conecte al equipo que es el oficial de la empresa, “enviando todas sus comunicaciones a través del equipo fantasma del atacante”, explica.

La práctica es curiosa porque “la mayoría de las empresas tienen un procedimiento para el borrado de discos rígidos de notebooks, equipos de escritorio y hasta de servidores antes de su disposición final, para evitar fuga de datos que están en un disco rígido, pero pocas lo tienen para sus equipos de comunicaciones, sería muy bueno que lo agregaran para garantizar que información tan valiosa de la red no llegue a las manos equivocadas”, explica Fioranelli.

Qué peligros concretos existen y cómo evitar este problema

Borrar todo antes de revender. Foto: Shutterstock

Borrar todo antes de revender. Foto: Shutterstock
Javier Rincón, manager de Argentina de Avast, explicó a Clarín que cuando un atacante logra acceder a la información de un router, este puede:

Saturar el ancho de banda

Espiar el tráfico de Internet de los dispositivos conectados

Acceder a contenido ilegal usando la conexión a Internet

Recopilar datos personales o sensibles

Instalar malware (virus)

Crear un mapa de la red Wi-Fi y planificar ataques a todos los dispositivos de la red

Atacar a otras personas u organizaciones

Secuestrar archivos mediante ransomware

Uso de hardware para botnets o incluso minar criptomonedas

En este sentido, para evitar ser víctima de un ataque de este tipo, se torna clave borrar toda la información a los valores de fábrica. En este sentido, quien advirtió hace unos años esta situación fue el especialista en seguridad informática Cristhian Borghello.

“Se debe crear un procedimiento de disposición final del equipo que contemple la eliminación de todos los datos de la red, credenciales y borrado seguro de los datos. En el caso que el dispositivo tenga almacenamiento interno, disco, SSD o memoria, se debería borrar de forma segura o cambiar antes de venderlo. Finalmente, si el dispositivo lo permite se debería volver a fábrica antes de la venta”, explica en diálogo con este medio.

Desde Avast recomiendan, además, contemplar los siguientes puntos:

Cambiar el nombre de usuario y contraseña para acceder a la configuración del router

Activar el cifrado WPA2 o WPA3, que protegen al router frente accesos no autorizados

Crear una contraseña segura y un nuevo nombre de red del router para las personas que desean conectarse a la red Wi-Fi

Desactivar WPS, esto significa que los routers pueden conectarse presionando un botón o introduciendo un PIN para conectarse en lugar de usar la contraseña, lo cual lo hace menos seguro. Desactivar la administración remota o inalámbrica, lo cual permitirá acceder ala configuración únicamente mediante un cable Ethernet, lo que impide que cualquier persona pueda hacerlo desde cualquier lugar. Actualizar el firmware del router, es decir, el software que controla una parte específica del hardware. Usar una herramienta de ciberseguridad que proteja la red Wi-Fi como Avast Free Antivirus, que incluye un inspector que analiza constantemente la red Wi-Fi en busca de actividades o dispositivos sospechosos.

El estudio de ESET, completo​