Seguro que al leer el título, lo primero que has pensado es «Dios mío, ¿y ahora qué?». Pues ese «ahora qué» es un malware llamado VPNFilter que fue descubierto por los investigadores de seguridad de Cisco y que, al parecer, ha infectado a más de 500 mil routers usados en más de 50 países tanto en el hogar como pequeñas empresas.
Este ataque afecta a routers fabricados por Linksys, Mikrotik, Netgear, QNAP y TP-Link. Según han informado desde el departamento de justicia de Estados Unidos, los autores del malware formaban parte del grupo Sofacy, el cual respondía directamente al gobierno ruso, y el objetivo probable del ataque era Ucrania.
El curso de acción recomendado desde el Buró Federal de Investigaciones es el siguiente: «El FBI recomienda que cualquier propietario de enrutadores para pequeñas oficinas y oficinas domésticas reinicie los dispositivos para interrumpir temporalmente el malware y ayudar a la identificación potencial de dispositivos infectados. Se aconseja a los propietarios que consideren la posibilidad de deshabilitar la configuración de administración remota en los dispositivos y protegerlos con contraseñas seguras y cifrado cuando estén habilitados. Los dispositivos de red deben actualizarse a las últimas versiones disponibles de firmware».
Y cabe aclarar que, debido a que no está claro cómo se infectaron los dispositivos comprometidos, el FBI recomienda que este procedimiento sea realizado por todos los usuarios de routers y dispositivos NAS, no solo los 14 que han sido identificados por Cisco.
Por qué basta con tan solo reiniciar
Según dijeron desde Cisco en un informe, «El malware VPNFilter es una plataforma modular de varias etapas con capacidades versátiles para soportar tanto la recopilación de inteligencia como las operaciones destructivas de ciberataque». Ahora bien, si es tan peligroso, ¿por qué es suficiente con reiniciar el router para inhabilitarlo?
Esto es debido a que VPNFilter cuenta con 3 etapas. La 1 es la persistente, mientras que la 2 y 3 no lo son. Debido a cómo funciona el malware, el reinicio eliminará las etapas 2 y 3 y atenuará la mayoría de los problemas. Por lo visto, el FBI se apoderó de un dominio utilizado por el creador del malware que servía para entregar las etapas 2 y 3, por lo que al desaparecer tras reiniciar, no se volverían a instalar en nuestro dispositivo.
Según aclararon desde el Departamento de Justicia, «Aunque los dispositivos seguirán siendo vulnerables a la reinfección con el malware de segunda etapa mientras estén conectados a Internet, estos esfuerzos maximizan las oportunidades de identificar y remediar la infección en todo el mundo en el tiempo disponible antes de que los actores de Sofacy se enteren de la vulnerabilidad de su infraestructura de mando y control».
Desde Cisco, recomendaron también que los usuarios realicen un restablecimiento de fábrica («factory reset») de sus routers, ya que esto elimina incluso la fase 1 del malware. Si no sabes como hacerlo, lo mejor es que te pongas en contacto con el sitio donde compraste el router o incluso con tu proveedor de Internet, si es él quien te lo suministró. Por lo general, basta con insertar un clip en la pequeña abertura marcada como «reset» que suele estar situado en la parte posterior o inferior y presionar el botón que se encuentra dentro durante unos segundos. Sin embargo, si no sabes como configurarlo tras el restablecimiento, no te apresures y busca mejor asistencia técnica antes de hacer nada.
