Tu router Cisco podría no ser ya tuyo: comprueba si está siendo controlado por hackers
Cómo tu equipo obsoleto está convirtiendo Internet en un apocalipsis zombi
Especialistas de Eclypsium han registrado un aumento pronunciado en la actividad de escáneres dirigidos a equipos de red obsoletos y que desde hace tiempo no reciben soporte. El principal peligro es que una parte considerable de esos ataques procede de dispositivos Cisco, Linksys y Araknis ya comprometidos, que fueron retirados del soporte y ya no reciben actualizaciones. Según datos de Shadowserver Foundation, en los últimos meses el número de nuevos enrutadores comprometidos superó los 2200, y esa cifra continúa creciendo.
En el informe de Eclypsium se señala que a los atacantes les da igual si emplean vulnerabilidades recientes o brechas de más de 15 años: lo importante es que el dispositivo siga siendo vulnerable. Entre los modelos explotados activamente figuran los Cisco Small Business RV, totalmente descatalogados, la serie Linksys LRT, que recibe solo actualizaciones limitadas, y el Araknis Networks AN-300-RT-4L2W, para los cuales ya no se publican actualizaciones de firmware. Estos equipos siguen funcionando en la infraestructura de empresas y en redes domésticas, pero en la práctica constituyen puertas abiertas para los ataques.
El riesgo se agrava por protocolos heredados de generaciones antiguas de software de red. El FBI advirtió anteriormente que los atacantes emplean activamente mecanismos como Cisco Smart Install (SMI) y SNMP, que transmiten datos sin cifrar. Aunque la vulnerabilidad CVE-2018-017 se conoce desde hace 7 años, todavía permite a grupos atacantes comprometer con éxito el equipo. Incluso cuando se publican correcciones, los usuarios a menudo no las instalan con rapidez, y las pequeñas empresas y los propietarios particulares las ignoran por completo, lo que convierte el problema en algo crónico.
Según los investigadores, los llamados «rincones polvorientos» de la infraestructura TI son el equipo antiguo, las versiones heredadas de Windows con aplicaciones cerradas y los servicios olvidados sin actualizaciones. Todos ellos siguen siendo posibles puntos de entrada. En esas condiciones, a los ciberdelincuentes les basta con lanzar escaneos masivos de internet para encontrar y comprometer dispositivos vulnerables.
Los objetos de ataque más frecuentes hoy son los enrutadores Huawei Home Gateway HG532. Casi 600 direcciones IP únicas atacan diariamente los honeypots de Shadowserver, intentando aprovechar una vulnerabilidad remota crítica detectada ya en 2017. Esta permite, mediante el envío de paquetes especialmente manipulados, obtener control total sobre el dispositivo.
Los dos siguientes vectores más populares están relacionados con los firewalls SonicWall. En SonicOS todavía se busca activamente la vulnerabilidad de 2022 que permite provocar una denegación de servicio o ejecutar código en el equipo sin autorización, así como el fallo de 2023 con el que los atacantes pueden desactivar el equipo de protección. De media, alrededor de 300 direcciones IP únicas comprueban diariamente la existencia de estos fallos.
Cientos de fuentes de tráfico siguen escaneando vulnerabilidades en Cisco IOS XE detectadas en 2018 y 2023, explotan una falla en Belkin Wemo (2019), usan un fallo del SDK de Realtek que ya tiene más de diez años y aprovechan problemas de seguridad en el Zyxel Eir D1000, conocidos desde 2016.
Los investigadores subrayan que la única forma efectiva de reducir el riesgo es abandonar protocolos obsoletos como TELNET, SNMP y SMI, reemplazar el equipo que ya no se actualiza y vigilar que todos los sistemas estén al día, incluso si parecen secundarios. Es especialmente importante actualizar regularmente el firmware de los enrutadores y de los puntos de acceso Wi-Fi, ya que con frecuencia son el primer objetivo de los atacantes.
¿Estás cansado de que Internet sepa todo sobre ti?