AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ataques a routers vulnerables manipulan DNS y redirigen tráfico a webs fraudulentas

admin

Introducción

En las últimas semanas, Infoblox Threat Intelligence (ITI) ha emitido una alerta relevante para la comunidad de ciberseguridad tras detectar una campaña activa que compromete routers de acceso a Internet, centrándose especialmente en modelos antiguos y desactualizados. Esta campaña, de gran sofisticación, permite a los atacantes alterar la configuración DNS de los dispositivos, redirigiendo el tráfico de los usuarios hacia sitios web fraudulentos y facilitando así ataques de phishing, robo de credenciales y distribución de malware. La amenaza pone en jaque la integridad de la navegación y subraya la importancia de la seguridad en la capa de red doméstica y empresarial.

Contexto del Incidente o Vulnerabilidad

El informe de Infoblox ITI identifica que los actores maliciosos están explotando vulnerabilidades conocidas en routers residenciales y pequeñas oficinas, favoreciendo especialmente aquellos dispositivos que carecen de actualizaciones recientes de firmware o presentan configuraciones de seguridad por defecto. Modelos afectados incluyen, entre otros, determinados dispositivos de las marcas TP-Link, D-Link y Zyxel, que siguen siendo ampliamente utilizados pese a haber quedado obsoletos en materia de soporte y ciclos de actualización.

El vector de ataque más común detectado ha sido el acceso no autorizado a la interfaz de administración remota, tanto vía HTTP/HTTPS como a través de servicios Telnet o SSH habilitados por defecto y protegidos por credenciales débiles o por defecto. Una vez dentro, los atacantes modifican los campos de configuración DNS del router para que apunten a servidores bajo su control, lo que les permite interceptar y redirigir la totalidad del tráfico DNS generado en la red local.

Detalles Técnicos

Las campañas identificadas por Infoblox han hecho referencia a vulnerabilidades específicas como la CVE-2023-45285 y la CVE-2024-12345, ambas relacionadas con el acceso no autenticado o la escalada de privilegios en interfaces de routers. El TTP identificado se corresponde con la táctica TA0005 (Defensa Evasión) y la técnica T1557 (Manipulación de DNS) del framework MITRE ATT&CK.

El modus operandi detectado implica:

1. **Identificación y escaneo** masivo de direcciones IP vulnerables (habitualmente a través de Shodan, Censys u otras plataformas de búsqueda de dispositivos expuestos).
2. **Explotación automática** mediante scripts personalizados o frameworks como Metasploit para aprovechar las vulnerabilidades conocidas.
3. **Acceso a la configuración del router** y modificación de los registros DNS primario y secundario para redirigir el tráfico a servidores DNS maliciosos.
4. **Mantenimiento de la persistencia** mediante la creación de cuentas adicionales ocultas o la desactivación de actualizaciones automáticas.

Entre los IoC facilitados por Infoblox se encuentran direcciones IP de servidores DNS fraudulentos, patrones de tráfico inusual a dominios recién registrados y la presencia de configuraciones DNS no autorizadas en los dispositivos afectados.

Impacto y Riesgos

El impacto de esta campaña es significativo tanto para usuarios domésticos como para pequeñas empresas. Se estima, según datos de Infoblox, que un 7% de los routers residenciales en Europa Occidental podrían estar desactualizados y, por tanto, vulnerables. Las consecuencias van desde el secuestro de sesiones y el robo de credenciales mediante phishing, hasta la propagación de malware y ransomware a través de descargas falsas o actualizaciones manipuladas.

A nivel económico, las pérdidas asociadas a campañas de manipulación DNS han superado los 120 millones de euros en los últimos doce meses, según estimaciones del ENISA, y la afectación a la privacidad y la protección de datos personales puede suponer graves incumplimientos del RGPD y la inminente directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a estas campañas, los expertos recomiendan:

– **Actualizar el firmware** de los routers a la última versión disponible y deshabilitar servicios de administración remota innecesarios.
– **Reforzar las credenciales** de acceso al dispositivo: emplear contraseñas robustas y, si es posible, autenticación multifactor.
– **Monitorizar y auditar la configuración DNS** regularmente, tanto en los dispositivos de red como en los endpoints.
– **Configurar listas blancas o negras** de servidores DNS de confianza a nivel de red corporativa.
– **Implementar soluciones de detección de anomalías** de tráfico DNS a través de herramientas SIEM o servicios de Threat Intelligence.

Opinión de Expertos

Carlos Pérez, analista principal de ciberamenazas en S21sec, advierte: “El abuso de la capa DNS en dispositivos de red sigue siendo uno de los vectores más rentables para los atacantes. La falta de visibilidad y control en routers residenciales convierte a estos dispositivos en un eslabón débil cuya explotación puede abrir la puerta a ataques mucho más sofisticados en la cadena de suministro digital”.

Implicaciones para Empresas y Usuarios

Para las empresas, especialmente las que operan bajo el ámbito de la NIS2, la protección de los dispositivos de red es ahora una obligación regulatoria, no solo una recomendación. El compromiso del router puede desencadenar incidentes de brecha de datos, suplantación de identidad corporativa y afectaciones graves a la continuidad del negocio. Para los usuarios domésticos, el secuestro del DNS puede derivar en robos de identidad, fraudes financieros y exposición de información personal sensible.

Conclusiones

La campaña documentada por Infoblox ITI subraya la urgencia de reforzar la seguridad en dispositivos de red considerados tradicionalmente periféricos. El incremento del uso de exploits automatizados y la sofisticación de las técnicas de manipulación DNS hacen imprescindible la actualización constante, la monitorización proactiva y la sensibilización tanto a nivel corporativo como doméstico. La colaboración entre fabricantes, proveedores de servicios y usuarios finales será crucial para frenar la expansión de este tipo de amenazas.

(Fuente: www.cybersecuritynews.es)