Más de 600.000 enrutadores de Internet pertenecientes a un único proveedor de Internet quedaron fuera de línea durante un período de tres días en octubre.
Los analistas de seguridad de Black Lotus Labs de Lumen Technologies detallaron el ataque en investigación publicada el jueves. Todos los enrutadores fueron alquilados por un único proveedor de Internet y quedaron permanentemente inoperables, lo que requirió un reemplazo de hardware. Casi la mitad de todos los módems de la compañía se desconectaron abruptamente durante esos tres días de octubre.
«El evento no tuvo precedentes debido a la cantidad de unidades afectadas; ningún ataque que podamos recordar ha requerido el reemplazo de más de 600.000 dispositivos», escribieron los investigadores de Lumen. «Además, este tipo de ataque solo ha ocurrido una vez antes, con AcidRain utilizado como precursor de una invasión militar activa».
En el informe quedan dos preguntas sin respuesta: ¿Qué proveedor de Internet fue atacado y quién fue el responsable?
¿Qué enrutadores de proveedores de Internet fueron pirateados?
El informe de Lumen no menciona a qué proveedor de Internet pertenecían los enrutadores. Rastrearon el ataque hasta dos marcas diferentes de dispositivos de puerta de enlace, Sagemcom y ActionTec, que mostraban una luz roja estática. Los usuarios en foros públicos de Internet describieron llamadas al servicio de atención al cliente en las que les dijeron que sería necesario reemplazar toda la unidad.
Cuando los investigadores de Lumen compararon estos dispositivos combinados de módem y enrutador con los proveedores de Internet que los utilizan, encontraron un proveedor específico con una caída del 49% en la cantidad de dispositivos conectados a Internet.
Un solo proveedor de Internet experimentó una disminución de aproximadamente el 49% en la cantidad de dispositivos conectados a Internet durante tres días en octubre.
«Una porción considerable del área de servicio de este ISP cubre comunidades rurales o desatendidas», dijeron los investigadores de Lumen. «Lugares donde los residentes pueden haber perdido el acceso a los servicios de emergencia, las empresas agrícolas pueden haber perdido información crítica del monitoreo remoto de los cultivos durante la cosecha y los proveedores de atención médica no pueden acceder a la telesalud ni a los registros de los pacientes».
Si bien la investigación se negó a nombrar al proveedor de Internet afectado, Informes de Reuters descubrió que Windstream era la empresa en cuestión, citando una comparación de las descripciones de los eventos en el informe de Lumen con cortes de Internet en las fechas del ataque. Un portavoz de Windstream rechazó la solicitud de comentarios de CNET.
¿Quién fue el responsable del ataque?
Los investigadores de Lumen concluyeron que «el evento fue probablemente una acción deliberada realizada por un actor cibernético malicioso no atribuido», pero no especularon sobre qué actor podría ser.
«En este momento, no tenemos una superposición entre esta actividad y ningún grupo de actividad conocido de un estado-nación», afirma el informe. «Evaluamos con alta confianza que la actualización de firmware malicioso fue un acto deliberado destinado a causar una interrupción, y aunque esperábamos ver una serie de marcas y modelos de enrutadores afectados en Internet, este evento se limitó a un solo ASN». ASN significa número de sistema autónomo, que es como el número de seguridad social de un proveedor de Internet. Lo único de este ataque es que se limitó a un único proveedor de Internet en lugar de a un modelo de enrutador o vulnerabilidad específicos.
El FBI no respondió de inmediato a la solicitud de comentarios de CNET.
Cómo mantener tu enrutador protegido
«Los ataques destructivos de esta naturaleza son muy preocupantes, especialmente en este caso», escribieron los investigadores de Lumen. Además de desconectarte durante un período prolongado, Hackeos de wifi puede exponer información personal, instalar malware o redirigir su tráfico de Internet. A continuación se ofrecen algunos consejos prácticos que le ayudarán a reforzar la seguridad de su red:
- Crea una Contraseña Única: Esta es la opción más baja cuando se trata de seguridad Wi-Fi. Enrutadores wifi vienen con un nombre de administrador y una contraseña predeterminados, y olvidarse de cambiar estas credenciales es como dejar la puerta de entrada abierta a los piratas informáticos. La mejor práctica es cambiar su contraseña aproximadamente cada seis meses y evitar contraseñas o frases fáciles de adivinar, como nombres, cumpleaños o números de teléfono. Aquí está cómo acceder a la configuración de su enrutador para actualizar su contraseña de Wi-Fi.
- Active el firewall y el cifrado de Wi-Fi: Por lo general, están activados de forma predeterminada, pero nunca está de más volver a verificar que estén activados. Esto ayudará a evitar que alguien escuche los datos enviados entre su enrutador y los dispositivos que se conectan a él. Puede encontrar estas configuraciones iniciando sesión en su enrutador desde su aplicación o sitio web.
- Actualice a un enrutador WPA3: WPA3 es el protocolo de seguridad más actualizado para enrutadores. Eso significa que ha sido certificado por Wi-Fi Alliance con las últimas protecciones. Si compra un enrutador nuevo, es casi seguro que será WPA3, pero algunos enrutadores alquilados directamente a proveedores de Internet pueden ser más antiguos. Los dos modelos de puerta de enlace específicos enumerados en el informe de Lumen, ActionTec T3200 y ActionTec T3260, tienen certificación WPA2, no WPA3. Si alquila un enrutador WPA2 a su proveedor, vale la pena llamándolos y negociando para un modelo más nuevo.
