ALERTAS | Noticias | 30 MAY 2018

"Reiniciar los 'routers' no soluciona la amenaza VPNFilter por completo"

Darío Beneitez, técnico de empresas y profesionales de Incibe, explica a CSO las características de la última amenaza mundial, VPNFilter, que, por el momento, no ha impactado de lleno en España.
seguridad_botnet_hackers
M. Moreno

 

El virus VPNFilter, descubierto por Cisco, y del que se ha hecho eco hasta el FBI, ha podido afectar, hasta el momento, a cerca de 500.000 dispositivos domésticos de todo el mundo. En primera instancia, el organismo de defensa e investigación de los Estados Unidos recomendó reiniciar todos los routers para paliar el problema. Aunque, según ha comentado Darío Beneitez, técnico de empresas y profesionales de Incibe, en declaraciones a CSO España, “esta medida solo soluciona parte del problema”. El experto asegura que este malware tiene un funcionamiento modular diferenciado en varias etapas. Y, la primera proporciona persistencia, lo que permite VPNFilter continuar en el aparata aunque este sea desconectado. “En las dos siguientes fases, que dotan al malware de funcionalidad, un reinicio podría eliminarlo”.

Preguntado por la gravedad del ataque, Beneitez asegura que, a pesar de tener repercusión mundial, el impacto en España ha sido muy pequeño ya que los aparatos afectados no se encuentran muy extendidos. “Además, los pocos proveedores que se han visto comprometidos ya han sido informados por parte de nuestro equipo de respuesta a incidentes para que tomen las medidas necesarias”, asevera. Entre éstos se encuentran dispositivos de almacenamiento NAS de marcas como Linksys, Mikro Tik, NetGear, TP-Link y QNAP.

Aunque el organismo desconoce la procedencia de la amenaza (“las múltiples técnicas que utiliza impiden su rastreo”), el objetivo de los ciberdelincuentes es crear una botnet para llevar a cabo distintas tropelías como robar información, espiar las comunicaciones o utilizar el propio dispositivo para llevar a cabo ataques de denegación de servicio distribuido (DDoS) o incluso dañar el equipo y dejarlo inoperativo.

 

Recomendaciones a los usuarios

El CERT de Seguridad e Industria (CERTSI), operado por el propio Incibe, recomienda a las personas afectadas varias acciones como restablecer los dispositivos afectados a valores de fábrica, desactivar las interfaces de administración remota Telnet, SSH, Windbox y HTTP con acceso desde Internet y actualizar al firmware y el software a la última versión disponible. “Estas medidas podrían ser difíciles de adoptar por los usuarios sin contenidos técnicos avanzados”, apunta Beneitez. “Sin embargo, debemos tener en cuenta que en muchas ocasiones son los propios proveedores de servicios quienes las aplican en los dispositivos afectados”.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios