Los routers de los usuarios siempre son uno de los objetivos de los ciberdelincuentes, ya que es el dispositivo que está conectado permanentemente a Internet y expuesto a todas las amenazas. Desde hace unas semanas, muchos usuarios de routers ASUS estaban notando que el tráfico de red saliente se disparaba de forma aleatoria, y durante estos episodios el procesador se ponía al 100% y la conexión a Internet se interrumpía. Ahora se ha sabido que cibercriminales estaban explotando un fallo de seguridad en estos equipos, ¿quieres conocer qué ha ocurrido y todo lo que se sabe hasta el momento?
Desde siempre, los ciberdelincuentes han puesto sus ojos en los routers de los usuarios, y es que es el único dispositivo expuesto a Internet, por lo que, si se tiene el control sobre ellos, se podría llegar al resto de dispositivos o directamente realizar ataques de denegación de servicio distribuido. Si tienes un router de ASUS, presta mucha atención, tanto para detectar si tu router ha sido afectado, y también para actualizar el firmware.
¿Cómo sé si estoy afectado?
La gran mayoría de routers ASUS están afectados por esta vulnerabilidad, por este motivo, el fabricante ha lanzado una actualización de emergencia para todos y cada uno de los modelos. Cuando hackean tu router lo unen a una botnet, para posteriormente realizar ataques DDoS. Los síntomas de que alguien ha conseguido entrar en tu router son los siguientes:
- El procesador se pone al 100% de forma aleatoria, es cuando se está realizando el ataque hacia otros objetivos.
- En la sección de monitorización de tráfico, se puede ver que el caudal de subida es el máximo de nuestra conexión a Internet.
- Durante estos episodios, la conexión a Internet se interrumpe, debido a que ocupa todo el ancho de banda de subida.
Si te ha ocurrido todo esto recientemente, seguramente estés afectado y hayan hackeado tu router para unirlo a una botnet. Se desconoce todavía cuántos afectados hay, pero según los foros la mayoría de los usuarios tienen los modelos RT-AX86U, RT-AX55 y también RT-AX88U.
¿Cómo han podido entrar?
Aún no se sabe muy bien cómo han podido entrar, parece ser que el vector de ataque ha sido el servicio de AiCloud porque todos los usuarios afectados que han comentado en los foros lo tenían habilitado, al habilitar este servicio el router es accesible a través de Internet sin necesidad de usar VPN. Hay que tener en cuenta que este servicio requiere autenticación, es posible que los usuarios no tuvieran una contraseña robusta, y los ciberdelincuentes hayan realizado ataques de fuerza bruta o diccionario para intentar averiguarla. Por lo tanto, si tienes una contraseña robusta no deberías tener problemas, no obstante, nuestro consejo es que nunca tengas tu router expuesto a Internet, usa siempre una VPN como WireGuard o bien OpenVPN para acceder de forma segura.
Una vez que han entrado en el router, instalan software malicioso con el objetivo de unirse a una botnet vía VPN PPTP, todo esto lo hemos sabido a través de los usuarios de snbforums que están comentando en varios hilos el problema. Una vez que se han unido a la botnet, se realizan ataques DDoS, de ahí que haya una carga de CPU alta, velocidad de subida elevada etc.
¿Tiene solución si no me han hackeado?
Sí, el fabricante ASUS ha lanzado una actualización de emergencia para mejorar los mecanismos de seguridad en todos los modelos. Las mejoras que han incorporado en sus últimos firmwares son:
- Mecanismos de gestión de memoria optimizados, mejorando la eficiencia y estabilidad del sistema.
- Se ha reforzado las validaciones de entrada y procesamiento de datos, protegiendo aún más la seguridad de tu información.
- Se ha mejorado el motor web, ahora es más rápido y se ha mejorado la seguridad también.
- Se han solucionado problemas de seguridad relacionados con JavaScript.
En la web oficial de ASUS tenéis el aviso de seguridad, y cuáles son las versiones de firmware para cada modelo que soluciona este grave problema.
¿Tiene solución si ya me han hackeado?
Lo que debes hacer es realizar una actualización de firmware, restaurarlo a valores de fábrica y poner una contraseña robusta para que no vuelva a suceder. Y comprobar si el problema se ha solucionado, monitorizando tanto el estado del procesador del router como del tráfico de Internet.
Nuestra recomendación es que actualices a la última versión de firmware cuanto antes, para no ser vulnerable.
Es importante que siempre apliques todos los parches y actualizaciones que haya, ya sea para un router o cualquier otro aparato. Un dispositivo obsoleto, y que tengas conectado a la red, puede ser una vía de entrada para los cibercriminales. Protegerte, evitar que puedan llegar a explotar fallos y robar contraseñas o datos personales, está en tu mano siempre y cuando tengas todo correctamente actualizado.
En definitiva, hay una vulnerabilidad crítica que afecta a una serie de routers de ASUS, una marca muy popular en este tipo de productos. Por suerte, hay parches disponibles y lo que debes hacer es actualizar a la última versión del firmware y evitar así que tu conexión pueda ser vulnerable a ataques cibernéticos.