El router, un elemento más que conocido por los usuarios. Sin él no dispondríamos de acceso a Internet y disfrutaríamos de otros servicios. La seguridad es muy importante en este equipo, ya que es visible desde el exterior y permitiría a ciberdelincuentes controlar y modificar su configuración. Pero, ¿cómo afecta que se modifiquen los DNS en la navegación y la seguridad de los datos de los usuarios?
Aunque parezca mentira, son muchos los ataques que se basan en la modificación de estos parámetros. Para todos aquellos que no lo sepan, vienen del inglés Domain Name System y a grandes rasgos se encarga de realizar la traducción entre los nombres de dominio y las direcciones IP de los mismos. Sin ellos, nos veríamos obligados a aprendernos las direcciones IP para acceder a Google, Gmail o incluso esta página.
Teniendo en cuenta que se encargan de “resolver”, la modificación de estos puede afectar de forma negativa a la navegación del usuario, tal y como veremos más adelante en este artículo. Antes de nada, vamos a conocer otros aspectos relacionados.
Modus operandi
Todo comienza con el acceso remoto al dispositivo y utilizando las credenciales existentes. Aunque parezca mentira, son muchos los usuarios que poseen activada la gestión remota del router con la contraseña por defecto. Es decir, admin o 1234 en muchos casos. Los ciberdelincuentes acceden al menú de configuración web y es entonces cuando comienza la modificación de la información. Obviamente no les resulta complicado acceder a la configuración de la interfaz WAN y cambiar las DNS por unas propias.
Ahora solo falta esperar sentado y esperar que el usuario navegue a través de Internet.
¿Qué sucede si modifican los DNS configurados?
Si el ataque se ha consumado de forma correcta, ahora el usuario accederá a páginas que pueden o no ser legítimas. Antes hemos mencionado que los servidores DNS se encargan de relacionar los nombres con las direcciones IP. Por este motivo, es posible que si buscamos acceder a Gmail lo hagamos a una copia del servicio. La finalidad de esta práctica no es otra que el robo de credenciales de acceso, algo que se aplica sobre todo a servicios de correo, redes sociales y servicios de banca en línea.
¿Qué medidas puedo aplicar para evitar que esto suceda?
En primer lugar, hay actuar de forma directa en el router. Lo más recomendable en estos casos es desactivar en primer lugar la gestión remota de este dispositivo. Posteriormente, y de parada obligatoria, el cambio de la contraseña. Aunque el usuario continúe siendo admin o 1234, la contraseña se debe modificar por otra no tan obvia. En estos casos, los ciberdelincuentes acostumbran a hacer uso de diccionarios para realizar ataques de fuerza bruta contra el dispositivo, hasta conseguir finalmente el acceso.
Una vez realizadas las dos operaciones mencionadas, es necesario comprobar los servidores DNS configurados en la conexión WAN. Deberán estar presentes los respectivos a nuestro operador. Si no conocemos estos datos se pueden consultar en esta página.
Con esto pondremos las cosas un poco más complicadas a los ciberdelincuentes y evitar que el router pase de ser nuestro aliado a enemigo.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
