CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

EE.UU. apunta hacia 'hackers' rusos que infectaron más de 500,000 'routers'

El malware VPNFilter fue dirigido a dispositivos de todo el mundo desde Linksys, MikroTik, Netgear y TP-Link.

wifi-security

El malware, llamado VPNFilter, ha infectado a más de 500,000 enrutadores en 54 países, aseguran investigadores.

Aaron Robinson/CNET

Más de medio millón de routers y dispositivos de red en 54 países han sido infectados con malware sofisticado, advierten investigadores del Talos Intelligence Group, de Cisco.

El malware, que los investigadores de seguridad llaman VPNFilter, cuenta con un interruptor de emergencia para enrutadores, puede robar nombres de usuarios y contraseñas, y puede monitorizar sistemas de control industrial.

Un ataque tendría el potencial de cortar el acceso a Internet para todos los dispositivos, explicó el miércoles William Largent, investigador de Talos, en una publicación de blog.

El miércoles por la noche, el FBI recibió permiso judicial para confiscar un dominio de Internet que, según el Departamento de Justicia, estaba utilizando un grupo de piratería ruso, conocido como Sofacy Group, para controlar dispositivos infectados. El grupo, que también recibe el nombre de Apt28 y Fancy Bear, ha buscado atacar organizaciones gubernamentales, militares y de seguridad, al menos desde 2007.

"Esta operación es el primer paso en la interrupción de una red de bots que ofrece a los actores de Sofacy una variedad de capacidades que podrían usarse para diversos propósitos maliciosos, incluyendo la recopilación de inteligencia, robo de información valiosa, ataques destructivos o disruptivos y a la incriminación de tales actividades", dijo el fiscal general adjunto de Seguridad Nacional, John Demers, en un comunicado.

Los ataques a los routers tienen un efecto no sólo porque pueden detener el acceso a Internet, sino también porque los hackers pueden usar el malware para monitorear actividad web, incluyendo el uso de contraseñas. En abril, funcionarios estadounidenses y del Reino Unido advirtieron sobre piratas informáticos rusos dirigidos a millones de enrutadores de todo el mundo, con planes para realizar ataques masivos aprovechando los dispositivos. En ese anuncio, el FBI llamó a los routers un "arma tremenda en manos de un adversario".

"Casi todo es posible, este ataque básicamente establece una red oculta que permitiría que un actor ataque al mundo desde una posición en la que sería bastante difícil de atribuir la acción", dijo en un correo electrónico Craig Williams, director de Talos.

VPNFilter ha infectado enrutadores en Ucrania en particular a un "ritmo alarmante", con un aumento en las infecciones en ese país europeo el 8 y el 17 de mayo. Talos dijo que el malware podría ser utilizado en un futuro ataque en el país. Los investigadores dijeron que el nuevo malware comparte muchos de los mismos códigos utilizados en ciberataques conocidos de Rusia y lo calificaron como "probablemente patrocinado por el estado".

Investigadores de Talos aún investigan cómo el malware infecta a los enrutadores, pero dijeron que los enrutadores de Linksys, MikroTik, Netgear y TP-Link están afectados.

Netgear dijo que estaba al tanto de VPNFilter y aconsejaba a sus usuarios actualizar sus enrutadores.

"Netgear está investigando y actualizará este aviso en cuanto haya más información disponible", dijo un portavoz en un comunicado enviado por correo electrónico.

MicroTik reconoció que Cisco le había informado sobre una herramienta maliciosa encontrada en tres dispositivos que fabricaba y dijo que ya había aplicado un parche para cerrar la vulnerabilidad mediante la cual se instaló el malware. "Simplemente actualizar el software RouterOS elimina el malware, cualquier otro archivo de terceros y cierra la vulnerabilidad", dijo un portavoz.

Las otras dos compañías no han respondido a una solicitud de comentarios.

Los investigadores dieron a conocer sus hallazgos ahora debido a la preocupación por un potencial ataque contra Ucrania. El país ha sido víctima de ataques cibernéticos rusos en repetidas ocasiones, incluido el ransomware NotPetya, que funcionarios estadounidenses y británicos han calificado como el "ciberataque más destructivo de la historia".

Los investigadores también incriminaron de un apagón de 2016 en Ucrania a los piratas informáticos rusos que utilizaron el malware para atacar sistemas industriales de control . 

La Alianza de Amenaza Cibernética, de la que Cisco forma parte, ha informado a las compañías sobre el malware destructivo, calificando al VPNFilter como "una amenaza seria". 

"Tiene capacidades destructivas. La estructura de comando flexible del malware le da al adversario la capacidad de usarlo para 'bloquear' estos dispositivos. Esa no es una capacidad usualmente incorporada en malware como este", dijo el presidente de la alianza, Michael Daniel.

Talos recomienda que las personas reinicien sus enrutadores en los valores predeterminados de fábrica para eliminar el malware potencialmente destructivo y actualizar sus dispositivos lo antes posible.