Comprueba si tienes cerrados estos puertos en tu router para evitar WannaCry desde Internet

Escrito por Sergio De Luz
Seguridad
2

El ransomware WannaCry ha tenido un impacto sin precedentes en los equipos de todo el mundo. En un primer momento se comentó que empezó a propagarse a través del típico correo de spam, pero no está del todo claro. Ahora se cree que podría haber sido por tener el servicio SMBv1 de Windows expuesto a Internet. En este artículo os vamos a enseñar cómo comprobar si tienes los puertos que utiliza SMBv1 cerrados en tu router para protegerte de la infección.

En la gran mayoría de redes domésticas tenemos NAT, de esta manera, el router se encarga de traducir las direcciones de red privadas en una única dirección IP pública. En principio no deberíamos tener ningún puerto abierto hacia ningún equipo de nuestra red, pero si por ejemplo has abierto la DMZ hacia un equipo con Windows, y dicho equipo tiene activado SMBv1 y no has aún instalado el parche para solucionar la vulnerabilidad, es posible que seas vulnerable a una infección por WannaCry.

Actualmente Microsoft ha lanzado hasta un parche para que los sistemas operativos Windows XP no puedan infectarse mediante este ransomware:

También tenemos diferentes herramientas que nos protegerán de este ransomware tan peligroso, como por ejemplo NoMoreCry Tool y también TearSt0pper, pero en empresas es más complicado desplegar estos softwares debido a que se podría ver afectada la compatibilidad con el software que hay ya instalado.

¿Cómo compruebo si tengo el servicio SMBv1 de Windows expuesto a Internet?

El servicio SMB1 utiliza varios puertos para la comunicación, si a nivel de cortafuegos o de un router evitamos que se usen estos puertos, estaremos protegidos ya que no se podría explotar esta vulnerabilidad. Los puertos utilizados por SMBv1 y NetBIOS, y los cuales debemos vigilar son los siguientes:

  • 445 TCP
  • 139 TCP
  • 137 UDP
  • 138 UDP

Debemos asegurarnos que estos puertos no están “abiertos” en el Port Forwarding de tu router, de esta manera, no podremos infectarnos desde Internet. Para comprobarlo deberemos entrar en dos páginas web, una es para comprobar los puertos TCP abiertos en nuestra IP pública, y la otra para comprobar los puertos UDP abiertos en nuestra IP pública:

En ambas webs la forma de escanear los puertos es la misma, es decir, deberemos introducir nuestra IP pública, si no sabes tu dirección IP pública puedes mirarlo entrando aquí, también podrás verla directamente en la parte superior izquierda del escáner de puertos. A continuación, ponemos tanto la dirección IP pública como el listado de puertos TCP separado por comas, tal y como podéis ver:

Una vez que aceptamos los términos de uso y hacemos el captcha, la web tardará unos segundos en cargar mientras analiza los puertos y nos devolverá la siguiente información:

Mientras que el resultado de los puertos sea diferente de “open”, significa que los puertos no son accesibles desde Internet. La utilidad que utiliza por detrás es Nmap, la herramienta más conocida para el descubrimiento de host y el escaneo de puertos abiertos y cerrados.

Una vez que hemos comprobado que no tenemos abiertos los puertos TCP, deberemos hacer lo propio con los puertos UDP, el mecanismo es exactamente igual: poner la IP pública, la lista de puertos y empezar el escaneo.

Os recomendamos proteger vuestros equipos con el software Anti Ransom V3, no solo te protegerá de WannaCry sino también de muchos otros ransomwares.


Continúa leyendo
  • paparabioso

    Siguiendo las instrucciones para el escaneo de puertos desde esa web, me dice que mi sistema está “caido” …
    “Nmap scan report for 188.xxx.yyy.zzz [host down]
    Note: Host seems down. If it is really up, but blocking our ping probes try -Pn”

    La IP pública la comprobé varias veces, en el router y con varias webs.

    ¿Puede ser que el firewall o el Internet security Kaspersky oculten mi IP a intentos de ping, que será lo que supongo que hace esa web?

    • Comentarista

      Seguramente el firewall, pero no el firewall software de tu equipo, sino el firewall de tu router que es a quien le llegan los intentos de ping.

Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10