EDICIóN GENERAL
281 meneos
2151 clics
Un estudio descubre que el 83% de los routers que tenemos en casa no son seguros

Un estudio descubre que el 83% de los routers que tenemos en casa no son seguros

El router de nuestra casa es el punto de entrada de Internet al hogar y con ello, un punto de especial interés por parte de ciberdelincuentes y otro tipo de personas que no persiguen nada bueno precisamente. En los últimos meses hemos conocido diversos problemas y fallos de seguridad, pero ahora tenemos una cifra exacta. Según un reciente estudio publicado por The American Consumer Institute, el 83% de los routers que tenemos en casa no son seguros.

| etiquetas: routers , seguridad
Comentarios destacados:                  
#25 #3 Yo que trabajo con redes, fui a lo overkill y me compré un Fortigate. Hay una vista muy a lo juanker (lo que ellos llaman Threat Map o mapa de amenazas para los profanos) que te dice todos los intentos de conexión fallidos entre otras cosas (si el IPS o cualquier otro monitor ha captado algo). Pues bien, yo tengo la DMZ abierta para dos o tres cosas muy concretas a las que solo yo tengo acceso desde la WAN y ahí veo todas las virguerías que me intentan hacer POR SEGUNDO desde cualquier lado de internet. Es acojonante.
Que definan seguros. ¿Son el 17% restante seguros o simplemente no tienen ninguna vulnerabilidad conocida? Ej que no es lo mismo...
#1 Seguro es una palabra muy grande. Normalmente para ser seguro tiene que estar desarrollado de unas formas especificas, y estar auditado de forma continuada. Ningún router del mundo cumple esos requisitos, ergo, ninguno es seguro.
#56 Vamos, lo que yo decía pero más desarrollado.
#1 El 17% estan apagados
Menuda novedad.
#2 He entrado a poner esto mismo. xD
El trabajo de un router es enrutar, la seguridad es otra cosa.

Los incentivos para la empresa que lo proporciona es que dé acceso a Internet, que el cliente pueda tener lo que ha contratado que es ancho de banda. La seguridad es otra cosa.

Si quieres seguridad pon un cortafuegos, cuya función sí es la seguridad. Si quieres seguridad aplica políticas de seguridad, diseña tu red para aislar las partes más sensibles del resto, haz copias de seguridad, etc.
#3 en mi caso, me han aconsejado cambiar el router que nos regala la operadora, porque nos da mejores prestaciones y mas opciones de configuración. y si esto no es posible, conectamos ambos aparatos vía ethernet, anulamos el Wi-Fi del router original y usamos el que hemos comprado para distribuir wi-fi.
#21 Siempre y cuando no los pongas en la misma frecuencia ni en cercanas, puedes tener ambas wifis activas excepto que te hayan configurado el router de la operadora en bridge/monopuesto.

Si están uno al lado del otro no te va a servir para mucho, pero si no es así, tienes dos puntos wifi.
#21 vas a tirar el dinero, la mayoría de usuarios no necesitan ninguna de esas prestaciones, y con el router de la operadora van sobradísimos.
#58 Hay dos prestaciones que no suelen tener los routers del proveedor de internet y que si tiene el que te compras en una tienda:

La facilidad de configuración con un manual en condiciones.

La ausencia de una empresa que te reconfigura a distancia el router jodiendote bastante trabajo realizado.
#63

La ausencia de una empresa que te reconfigura a distancia el router jodiendote bastante trabajo realizado.

Eso normalmente (no siempre, ojo) se soluciona cambiando las contraseñas del router.
#66 ni de coña... Al menos con Telecable.
Eh tenido que pelearme mucho con ellos, para que me quitarán el router, y me pusieran un módem.
#78 sin modem no te conecta, pero hay modems con router y desde fuera son similares
#66 eso no evita la modificación por el operador.
Los routers tienen internamente un protocolo de administración remota que se llama tr069 que se conecta con el operador para recibir órdenes (acls, firmware,..) y además no puede ser desactivado casi nunca, ya que su configuración va por dhcp y en el propio firmware.
Hay casos conocidos en los que la configuración de tr069 la podía alterar remotamente alguien que ataque al router, debido a fallos de seguridad.
#58 En California al menos con service de internet por cable si no usar el que te proven te evitas $10 al mes de alquiler y te entra mucha mas banda
#83 ¿ Te entra mucha más banda ancha o te entra mucha peña en el router ?
#96 Lo mejor es cambiar el nombre, contraseña larga y sobre todo que la wifi ko no anuncie
#3 Yo que trabajo con redes, fui a lo overkill y me compré un Fortigate. Hay una vista muy a lo juanker (lo que ellos llaman Threat Map o mapa de amenazas para los profanos) que te dice todos los intentos de conexión fallidos entre otras cosas (si el IPS o cualquier otro monitor ha captado algo). Pues bien, yo tengo la DMZ abierta para dos o tres cosas muy concretas a las que solo yo tengo acceso desde la WAN y ahí veo todas las virguerías que me intentan hacer POR SEGUNDO desde cualquier lado de internet. Es acojonante.
#25 Joder macho Fortigate, Juniper, Paloalto no son para todos los bolsillos. xD xD xD xD
La mayor parte de la gente no se compraría ni un router Draytek, como para comprarse firewalls de marca.
#32 Yo tengo un Mikrotik, jeje
#25 cada vez que miro los log del firewall de mi curro... Me pasa lo mismo. Da miedo.
#33 Miedo? No es curro asegurado hasta que te jubiles? xD
#35 yo no soy el administrador, soy desarrollador, eso no quita que le eche una mano cuando lo me lo ha pedido.
#33 seguro que el 99% son puros escaneos o intentos al puerto del ssh/telnet si los tienen abiertos.
#39 si la mayoría son "por si suena la flauta". Ataques como tal, que yo sepa, no hemos recibido ninguno.
#33 Estos rusos y chinos eh?
#85 o japos, o finlandeses, o rumanos, o americanos, o españoles, o... A saber de dónde son.
#25 a ver, que nos pensamos que todo está tranquilo y no. Hacer un bucle "for x:0.0.0.0 to 255.255.255.255 { intentamos piratear x}" (así escrito en pseudocódigo de todo a cien) es de lo más sencillo.

Otra cosa es que consigan algo.
#44 eso no es tan simple si se quiere hacer en un tiempo razonable. Requiere cosas como mass scan o unicorn para que se ejecute en un tiempo realista.

La mayoría de "ataques" vienen de generar ips al azar, o bien de mass scan o unicorn. Para los interesados:

tools.kali.org/information-gathering/unicornscan
github.com/robertdavidgraham/masscan
#25 Y pensaba que yo era paranoico... :-) ¿Qué te costó la broma, si puede saberse?.
#51 unos 400€. Es un FortiWifi 61-E
#88 nah, este es el primer año que lo tengo. Me decidí por un Fortigate pequeño porque me gusta mucho como se gestiona el dispositivo (en aquel entonces tenía ya experiencia previa). La licencia que tenía era NFR (not for resale), por lo que te viene todo activado durante varios meses para que lo pruebes. Tener todo ello disponible ha estado muy bien porque me ha permitido explorar sin tener que arrepentirme de tocar algo importante como podría pasar en un…   » ver todo el comentario
#99 Me encantaría poder tener uno de ésos, pero el tema de tener que pagar licencia continuamente... como que no me compensa (para casa).

Disfrútalo, aunque a veces ojos que no ven... corazón que no siente. ;)
#25 Los que somos pobres tiramos de PFSENSE 8-D
#25 Joder ¿y pagas la suscripción todos los años? ¿Que ancho de banda tienes? para manejar 300mbps tienes que gastarte 2000€
#3 Cuenta eso cuando el router tiene un panel web que permite modificar a su antojo todo el rutado y acceder a la web local. Y que ese router sea vulnerable y permita el acceso a ese panel...
#37 Claro que hay que contar con ello, el router del proveedor de Internet debe ser considerado como un equipo ajeno del cual no tenemos el control. Las políticas de seguridad deben tratarlo como una potencial amenaza.
#3 Discrepo.

La seguridad es un atributo o propiedad transversal a todos los elementos de un sistema informática. El router, como componente de red, forma parte de la cadena de elementos con los que interactuas, y de su seguridad depende la tuya. Es como decir que la labor de una pared no es ser segura, que para eso está la puerta. Entonces, pones una puerta acorazada, en un tabique de 12cm. Es ridículo.

En informática pasa igual. Además, los aparatos de los que habla el artículo en realidad…   » ver todo el comentario
#57 El router es un aparato que por lo general va asociado al servicio contratado, lo proporciona el proveedor, lo sustituye el proveedor y no son pocas las ocasiones en las que éste lo puede actualizar remotamente o cambiar su configuración.

A todos los efectos es parte de la red del proveedor de servicios y no de la red nuestra, es sano considerarlo como ajeno a nuestra red ya que por sus características lo es. Al igual que no tienes control alguno de los equipos de enrutado en la sede de tu…   » ver todo el comentario
#69 la seguridad de la que hablas es la que ellos tienen mediante firewalls EN SU SEDE y NO EN TU CASA, ya que tu casa se la trae al pairo.

Lo que entre en tu casa , a ellos les da igual, y por eso dejan puertas abiertas por defecto y con una seguridad más que dudosa.
#57 ¿qué "seguridad" necesita un modem? ¿Y un switch de uso doméstico?

Los problemas de inseguridad de lo que llamamos "router" (doméstico) provienen de la interfaz WiFi, pero como enrutador no necesita ninguna medida de seguridad. ¿Qué medidas de seguridad tienen los routers de un proveedor de Internet, por ejemplo?
#80 esos enrutadores son también modems con IP pública e interfaces de gestión, si te vas a shodan verás que existen miles de ellos vulnerables o mal configurados.
#81 ¿a qué puede ser vulnerable un módem?
#97 eso depende de la capa de servicio que ofrece el aparato que además contiene el módem. En la práctica el módem suele ofrecer interfaces de configuración y servicios de capa de aplicación varios, proporcionados por el firmware del aparato.
#3 ¿Que opinas de un openwrt en medio? En serio.
Es lo que uso y asusta. No sé que firmware me me van a colocar en la fibra/adsl

Creo en mi configuración Iptables ip4 y deshabilito ip6. No llego a más.
Luego en la calle, los telefonos van casi por libre.
Uso particular.
#3 otro hijiniero. Claro. Pon un firewall, detrás de un router vulnerable. Olé. Así puedo seguir metiendome en tu router y puedo ver y enrutar tu tráfico a donde yo quiera. Los firewall no son mágicos! Y uno que te permita gestionar la fibra y quitarte de enmedio el router del ISP, en los pocos isp que permiten eso, cuesta un pastizal. No está al alcance de prácticamente nadie. Te lo dice uno que tiene un UTM en casa.
#73 ¿podrías explicar eso de "meterme en el router y enrutar el tráfico donde yo quiera"?
#79 no se me ocurre una explicación mejor... Si tengo acceso ilegitimo a la máquina que enruta tus paquetes a internet y malas intenciones, puedo hacer una ruta estática en tu router para que tu tráfico buscando internet pase primero por el router de mi casita, de ahí a mi servidor que almacene tu tráfico y que modifique que (ejemplo simple de demo técnica para impresionar comerciales) los jpg de las web que visites se sustituyan por fotos de gatitos. O por jpg infectados con un RAT de mi elección... o por aterradoras cosas que Tu firewall de detrás se comería con patatas hasta sin hambre.

Un router seguro es elemental.
#87 ¿cómo? o_o ¿Dónde has leído eso?

Una tabla de rutas IP solo puede encaminar los paquetes a las subredes que tiene directamente conectadas a la interfaz, esto es, sin ningún hop IP en medio. Es decir, si, por ejemplo, un router tiene dos interfaces, cada una de ellas conectada a una distinta subred (llamémoslas A y B), solamente puede decidir enrutar los paquetes a la subred A o a la subred B (o a puertas de enlace dentro de dichas subredes).…   » ver todo el comentario
#98 ya. Claro. Te equivocas en algunas cosas pero vamos, que te he dado una aproximación coloquial porque entendí que preguntaba un lego. Dado que crees que sabes tanto es absurdo que te corrija y ciertamente deberías saber unas cuantas formas de hacerlo. De lo contrario: aprende.
#100 no lo decía por atacarte, sino por enseñarte en tono amigable, hasta poniendo emoticonos y todo; pero parece que te ha dolido. ¿Tenemos el día sensiblón? :-)

Si quieres puedes decirme en qué me equivoco o a lo que te referías, que estoy seguro que poco tiene que ver con poner IP remotas en la tabla de rutas, pero bueno si es "coloquial" pues vale. :-)
Ese estudio es una mierda, se equivoca en un 17% de los casos.
No son seguros de fábrica. Obligatorio quitarles el WPS Y cambiar el nombre de la red y la contraseña para empezar. Y lo de apagarlo cuando te vas a dormir o sales de casa es una medida sencilla e infalible.
#5 Yo no soy un experto en redes, pero de la gente que conozco (familiares, amigos y tal) soy el unico que tiene el nombre de la red y la clave cambiadas de las de fábrica. Y aquí incluyo a alguno que es técnico de redes, que me dejó flipado el otro día cuando le pedí la wiifi y me enseño la pegatina del router o_o
#6 Yo se lo he cambiado a mi vecino. Y procuro que no se nos cuele ningún usuario mas
#9 ¿Pero el sabe que lo has cambiado o le tienes chinado buscando qué le pasa a su router? :troll:
#10 Yo le protejo de parásitos y a cambio tengo conexión gratuita. Soy como un proxeneta de Internet.
#9 eso se llama simbiosis xD
#6 cambiar la red tampoco te garantiza gran cosa..
filtrado por MAC, si es posible que a la configuracion solo se acceda por la parte lan y nunca por wifi o por la wan, control de puertos para evitar conexiones directas al router desde fuera... y ni aun así te libras de los bugs del cacharro.
#13 Claro como que la MAC no se puede falsificar :troll:
#16 si, ya se, pero bueno, se trata de ir poniendo pegas, para que la gente se vaya al vecino y te deje en paz.
#18 Eso es verdad. ;)
#18 {0x1f44d} Es la técnica para escapar de un oso: no tienes que ser más rápido que el oso, sino más rápido que el más lento del grupo que escapa.
#20 Siempre y cuando corráis en la misma dirección, no sea que el oso sólo te persiga a ti... xD
#18 eso no lo vas a conseguir con el filtrado mac. Si alguien se molesta en usar kali para obtener tu contraseña wifi via wps, o utiliza ataques de diccionario a wpa, creeme que sabe monitorear dos minutos para pillar una mac aceptada, sino es como la mayoría de los routers que si te pones su popia mac, te dejan pasar el filtro mac.
#13 Lo se, pero ya he dicho que experto no soy, y la verdad, meter todos los cacharros que se conectan en casa al wifi, me da pereza. Sí que miro alguna vez las conexiones para ver si hay algún bicho externo o raro. Pero teniendo en cuenta que el 80% de mis vecinos son jubilados y que el rango de la wifi tampo es que me llegue muy lejos, no es algo que me preocupe mucho
#13 Hay un router de movistar al que sólo puedes entrar a la configuración avanzada por ethernet. Es una mierda pinchada en un palo.
#6 es que depende de dónde estés. Si vives en el centro de Madrid, Barcelona, etc., te conviene no sólo cambiarla, sino hacerlo con relativa frecuencia.

Si vives en las afueras de Villabajo del Río, te va a dar igual.
#5 Infalible no, solo es infalible mientras está apagado, pero en cuanto lo enciendes tienes un problema mayor, porque cuando te conectas a la red WIFi (en el proceso de autenticación para dar acceso a la red) hay multitud de vectores de inicialización (ivs) para facilitar la obtención de la contraseña.
#8 y si desde otro equipo envías señales de desconexion a los equipos conectados, ni te cuento los que salen cuando reconectan :troll:
#15 Pues lo mismo
#8 con una contraseña wpa2 segura, esos ivs no te van a servir absolutamente para nada.
#62 jajajajajaja
#5 Vivir en una casa de pueblo sin ninguna red Wifi al alcance nada más que la propia también ayuda. :troll:
#5 La forma más sencilla e infalible es no contratar ningún servicio de conexión a internet. Y además es la más barata. Solo tiene una pega.
#23 ¿Qué pega?

Contesta rápido por favor que estoy a punto de irme a casa y allí no tengo internet :troll:
#5 ¿Me explicas por qué recomiendas desactivar wps?
#45 La implementación de WPS mediante pin es insegura, permite hacer ataques por fuerza bruta y conseguir acceso a la red en cuestión de horas, incluso con WPA2. Puesto que el estándar "obliga" a ofrecer dicho método de autentificación, activar WPS es peligroso.
#54 Yo todavía me meto en wifis con wps con el Android. Hay mucho router viejo.
#45 #54 no solo eso, además los routers implementan wps de una forma bastante penosa, haciendo posibles ataques que en teoría no serían posibles incluso con lo inseguro que es wps via pin. Cuidado, que muchos routers no permiten deshabilitar wps, o dicen deshabilitarlo en su ui y luego sigue activo en realidad. Todo este mundillo da bastante pena.
#5 El problema de WPS es la validación por PIN de tan solo 4 dígitos, lo normal es que esto ya no funcione y solo se active mediante la pulsación de un botón o activandolo desde el menú del "router", por lo menos en los de Vodafone que conozco.
#50 ojo, que algunos routers dicen ir con botón, pero luego puedes atacar wps incluso cuando no pulsan el boton.
#65 Es que el sistema por pin es el método básico que debe ser soportado para cumplir con el estándar. Pero tienes razón, los dispositivos caseros en general no son fiables. Temo la moda que viene de conectar todo a internet...
No hacía falta un estudio para eso. Teniendo en cuenta que los routers los pueden administrar remotamente los "técnicos" de la compañía y da igual que les llames por un problema de cortes de sincronismo, un problema con el teléfono fijo, o les digas que que te han cobrado de más en el supermercado,... ellos te cambian el canal del wifi y problema resuelto. Y el que se aventura con algo más, te la lía.
#7 Lo que se puede hacer en remoto con la mayoría de routers es bastante inocente. Lo peor que te pueda pasar es que tengas una config puesta y el operador lo resetee. En Movistar hay un histórico donde se pueden recuperar esos datos, en otros operadores ni idea.
#40 Resetear no es lo peor que te puede pasar. Y evidentemente siempre puedes pulsar el hardreset para volver al estado de fábrica.
#41 Entonces, qué es?
#40 En Movistar hay un histórico siempre y cuando se haya accedido a ese router anteriormente con esa configuración personalizada. Es decir, que el cliente haya llamado y se haya quedado eso guardado, que tampoco es en todas las llamadas ni mucho menos. Y tiene caducidad obviamente.

Siemore se puede hacer un back up en Alejandra (alguno pensará que es una postura sexual rara) o en local.
Eso tiene fácil solución. Si el 83% de routers en casa son inseguros, y sólo tengo un router, me compro 9 routers más, y así me garantizo que al menos uno (en realidad 1,7) es seguro. :troll:
#24 Te sale mejor si te juntas con con cuatro colegas y compráis 30.
Y esto lo sabe un 14% de la gente.
83% de los routers que tengo en casa? Espero que los inseguros sean los que tengo guardados en un armario
No es seguro Facebook, va a ser seguro el router cutre que tenemos en casa. Qué sorpresa.
Oh vaya, no lo sabía :roll:
Y el 80% de las puertas tampoco.
Openwrt ... y andando. Internet llega hasta donde quieres.
Luego en la calle, te pillan con el 3g o 4g a casporrillo hasta que afinas el movil.

Consulta con friki mas cercano.
Yo a 85 la hora (y no he subido precio desde el 2007) xD
O sea, que de los 1000 routers que tengo en casa instalados, 830 no son seguros.
#53 yo tengo mil ahí en una caja de cartón
Ya podían haberse estirado un poco y decir cuáles de entre los analizados eran seguros (o menos inseguros).
piensas que lo que digo es incorrecto? Pues explícame en que me equivoco :roll:
«12

menéame