Los routers son uno de los elementos perteneciente al Internet de las Cosas que más ha evolucionado. Sin embargo, es muy importante que la configuración de este sea la adecuada para evitar problemas, como por ejemplo, que los ciberdelincuentes vinculen tu equipo a la botnet Remaiten para realizar ataques de denegación de servicio.
Aunque parezca mentira son muchos los usuarios que desconocen cuál es la configuración de este dispositivo y si podría provocar problemas de seguridad. Sin ir más lejos, con una inmensa mayoría los que aún acceden utilizando las credenciales por defecto que posee el dispositivo a su salida de fábrica y posee activada la opción de gestión remota, permitiendo que cualquier usuario pueda acceder a este utilizando admin o 1234 como usuario y contraseña y modificar la configuración del mismo.
Los propietarios de esta red que ya posee un tamaño considerable utilizan una herramienta que es capaz de automatizar el proceso y rastrear si el equipo es accesible vía el puerto 23 o lo que es lo mismo, a través de Telnet.
Una vez se ha detectado el dispositivo se debe descargar el bot adecuado que será el encargado de instalarse y ser persistente a pesar de los apagados. También recibirá órdenes y las ejecutará, siendo por el momento la nota predominante la generación masiva de tráfico hacia determinadas direcciones, sinónimo de ataque de denegación de servicio. Quizás os pueda ser de utilidad conocer routers con VPN qué modelos tienen un servidor VPN.
El usuario desconoce si su equipo pertenece Remaiten o no
Tal y como suele suceder en este tipo de infecciones, los ciberdelincuentes buscan que la amenaza pase desapercibida el mayor tiempo posible, y en esta ocasión el usuario solo nota pequeñas ralentizaciones en la conexión que nunca serán achacadas a este problema. El control de los equipos se realiza a través del protocolo IRC y el servidor de control es un canal de estas características. Gracias al envío de mensajes privados se puede ordenador que dirección atacar y sobre qué puerto se debe llevar a cabo el ataque.
MIPS, ARM, Power PC, y Super H son las arquitecturas que por el momento se han visto afectadas por estos ataques que han comenzado a proliferar durante esta semana.
Para evitar que esto suceda solo debemos modificar las credenciales de acceso que nuestro router posee por defecto y evitaremos que pase a forma parte de esta red encargada de la realización de ataques de denegación de servicio, pudiendo incluso llevar a cabo la desactivación de Telnet.