Hoy en día, donde la conectividad es esencial para las operaciones empresariales, los dispositivos que se encuentran en la frontera entre Internet y las redes corporativas internas desempeñan un papel crucial. Estos dispositivos, especialmente aquellos encargados de la seguridad y la gestión del tráfico de la red, a menudo se convierten en el objetivo principal de los ciberdelincuentes. Son puntos de acceso estratégicos que, cuando se comprometen, pueden tener consecuencias devastadoras para la organización. En este artículo, exploraremos por qué estos dispositivos son tan atractivos para los atacantes y cómo protegerse contra las amenazas que representan.
Los dispositivos en la frontera entre Internet y una red corporativa interna son atractivos para los atacantes por varias razones:
Acceso a recursos internos: Estos dispositivos tienen acceso a una parte importante del tráfico interno de la red y a los recursos de la organización. Esto significa que si los atacantes pueden comprometerlos, obtienen acceso a información crítica y sistemas internos.
Invisibilidad: Estos dispositivos no suelen despertar sospechas cuando envían grandes volúmenes de tráfico hacia el exterior. Esto les permite operar en las sombras y mantener su presencia oculta.
Registro de actividad: Los registros de actividad de la red se generan y almacenan a menudo en estos dispositivos. Si un atacante logra comprometer un router o firewall, puede borrar los rastros de su actividad maliciosa, dificultando la detección.
APT y actores menos sofisticados: Si bien los grupos de amenazas avanzadas (APT) de renombre como Slingshot, APT28 y Camaro Dragon han utilizado el compromiso del enrutador como táctica, hoy en día, actores menos sofisticados también pueden hacerlo. Esto es especialmente cierto si la empresa objetivo utiliza modelos de enrutadores obsoletos o dispositivos de oficinas pequeñas o domésticas.
Te podrá interesar leer: Actividades APT 2023: Resumen Semestral
Los ataques a dispositivos de frontera, como routers y cortafuegos, suelen aprovechar vulnerabilidades que se descubren con regularidad. A veces, estas vulnerabilidades son tan graves que algunos expertos se preguntan si podrían haberse colocado deliberadamente en el firmware del dispositivo. Además, incluso si se solucionan todas las vulnerabilidades conocidas, errores de configuración o características inherentes a modelos de enrutadores más antiguos pueden provocar infecciones.
Un ejemplo notable de este tipo de ataque es el grupo APT BlackTech (también conocido como T-APT-03, Circuit Panda y Palmerworm). BlackTech inicia sus ataques infiltrándose en una sucursal regional de la empresa objetivo, aprovechando las políticas de seguridad más débiles y la infraestructura de hardware más simple de estas ubicaciones. Luego, obtienen credenciales administrativas para el enrutador o cortafuegos y actualizan el firmware con código malicioso. Una vez comprometido, el dispositivo perimetral se convierte en una herramienta poderosa en manos de los atacantes.
Te podrá interesar leer: Configura tu Router Fácilmente para una WiFi Segura
El firmware malicioso del enrutador no solo brinda a los intrusos un punto de apoyo seguro en la red objetivo, sino que también les permite abordar una amplia variedad de desafíos tácticos al:
Ocultar Cambios de Configuración: El firmware malicioso puede ocultar los cambios realizados en la configuración del enrutador, dificultando la detección de modificaciones no autorizadas.
No Registrar Comandos y Acciones del Atacante: Los comandos y acciones ejecutados por el atacante pueden no registrarse en el sistema, lo que dificulta el seguimiento de sus actividades maliciosas.
Bloquear la Ejecución de Comandos Legítimos: El firmware malicioso también puede bloquear la ejecución de comandos legítimos en la consola del enrutador, lo que obstaculiza aún más la investigación de incidentes.
Si bien este informe se enfoca en el firmware malicioso dirigido a enrutadores Cisco en la plataforma IOS, es importante destacar que BlackTech y otros actores también comprometen otros modelos de equipos de red de manera similar. Además, incidentes anteriores de compromiso de dispositivos de borde han afectado a marcas como Fortinet, SonicWall, TP-Link y Zyxel.
Podría interesarte leer: Malware botnet utiliza 2 días cero para infectar NVR y Enrutadores
Para protegerse contra los ataques a dispositivos de frontera, es fundamental implementar buenas prácticas de seguridad:
Segregación de red: Coloque los sistemas administrativos en una VLAN separada y bloquee el tráfico no autorizado hacia dispositivos de red destinados a VLAN no administrativas.
Restricción de acceso: Limite el acceso a los servicios de administración a direcciones IP autorizadas.
Monitoreo y supervisión: Supervise los intentos de acceso a la administración del enrutador, revise regularmente los registros de dispositivos de red y detecte eventos inusuales.
Cambios de contraseña: Cambie todas las contraseñas y claves ante la sospecha de una compromisión.
Actualización de hardware: Si utiliza dispositivos obsoletos, planifique y presupueste la actualización de hardware lo antes posible, priorizando proveedores con enfoque seguro por diseño.
Podría interesarte leer: ¿Tu software está al día?: Importancia de los Parches
En conclusión, los dispositivos en la frontera entre Internet y las redes corporativas son puntos críticos de acceso que requieren una atención especial en términos de seguridad. Los ataques a estos dispositivos son una amenaza real, y las organizaciones deben tomar medidas proactivas para protegerse y garantizar la integridad de sus redes y datos.