Cabecera blog ciberseguridad

Ciberataques contra routers industriales y empresariales

- Ciber 4 All Team

Los ciberataques contra routers son especialmente sensibles en el ámbito industrial

Los ciberataques contra routers suponen una peligrosa amenaza para empresas del sector industrial donde se emplean dispositivos IIoT y sistemas ICS

A finales de 2024 se hizo público que los departamentos de Comercio, Defensa y Justicia de Estados Unidos están estudiando prohibir la comercialización en el país de los routers TP-Link, una compañía china que controla en torno al 65% del mercado de los routers empleados en los hogares y en las pymes. ¿Por qué? Se considera que el fabricante no corrige adecuadamente las vulnerabilidades de seguridad de sus productos. Y a esto se suma que se han detectado campañas maliciosas orquestadas por grupos delictivos chinos que comprometen dispositivos de red fabricados por TP-Link.

Esta noticia ha vuelto a poner el foco en los ciberataques contra routers industriales, empresariales y de uso doméstico. Una amenaza que pasa desapercibida, pero que puede poner en jaque la continuidad de negocio de las compañías, facilitar el espionaje y el robo de información corporativa y provocar cuantiosas pérdidas económicas al dejar a las empresas y a sus dispositivos IoT desconectados.

Además, es importante señalar que los ciberataques contra routers no se dirigen solo contra dispositivos generalistas y de bajo precio como los comercializados por TP-Link, sino también contra routers empleados en industrias tan avanzadas tecnológicamente como la energética o el sector de las telecomunicaciones.

Así, hace apenas unos días, Moxa, un proveedor de dispositivos de red empleados en entornos con sistemas de control industrial alertó de que dos vulnerabilidades presentes en sus routers permitirían a atacantes remotos conseguir privilegios de administrador en los dispositivos y ejecutar código malicioso. Para subsanar estas vulnerabilidades, el fabricante lanzó un parche de seguridad que debían instalar las compañías que emplearan los dispositivos afectados.

1. No implementar parches de seguridad pone en riesgo a los routers ante vulnerabilidades conocidas

Actualizar continuamente los dispositivos para asegurarse de implementar todos los parches de seguridad es clave a la hora de evitar ciberataques contra routers.

Sin ir más lejos, durante octubre y noviembre de 2024, dos botnets explotaron activamente vulnerabilidades que afectaban a routers de la compañía D-Link. ¿Esto fue posible porque se trataban de vulnerabilidades desconocidas? No. Las vulnerabilidades explotadas habían sido descubiertas hace años. Sin embargo, los dispositivos atacados estaban desactualizados y no se habían implementado los parches de seguridad desarrollados por el fabricante.

De esta forma, los actores maliciosos consiguieron controlar de manera remota los dispositivos atacados, desplegar malware en sistemas corporativos y lanzar ataques de denegación de servicio distribuido (DDoS).

Un reciente estudio hace hincapié en que la desactualización de los routers es una mala práctica común. Hasta el punto de que 9 de cada 10 encuestados afirma que no ha actualizado el firmware de su router. Si bien cabe suponer que en el terreno empresarial esta cifra será notoriamente inferior, evidencia que, hay todavía un largo camino de interiorización de esta tarea tan básica y esencial.

Los routers son activos muy sensibles de los negocios

2. La peligrosa práctica de utilizar credenciales por defecto en cuentas de administrador

Igualmente, dicho estudio arroja otro dato preocupante que facilita los ciberataques contra routers empresariales y domésticos: el 86% de los usuarios encuestados no ha modificado las credenciales de administrador que traen por defecto los dispositivos, lo que facilita la capacidad de los actores maliciosos de comprometer los dispositivos y lanzar ataques contra routers y las empresas que los emplean.

¿Cómo se pueden producir estas prácticas negligentes? Los routers son un elemento clave de cualquier red corporativa y, por lo tanto, son críticos para el tejido productivo en un momento en el que la digitalización está extendida en todos los ámbitos empresariales.

Los routers son aún más relevantes para las industrias que emplean sistemas ICS (Industrial Control System) y dispositivos IIoT (Industrial Internet of Things) para realizar sus actividades y que, por ende, necesitan estar conectados a internet para poder funcionar.

A pesar de su criticidad para la continuidad de negocio, algunas organizaciones no le prestan la atención debida a la hora de diseñar sus estrategias de ciberseguridad y centran su atención únicamente en elementos de su infraestructura digital como los equipos de los empleados o los software empresariales.

3. La explotación de vulnerabilidades de día cero pone en jaque a las empresas

¿Las empresas que ponen en marcha buenas prácticas en materia de ciberseguridad para fortalecer la seguridad de los dispositivos están a salvo de los ciberataques contra routers? Por desgracia no. Una de las tendencias más preocupantes en el ámbito de la ciberseguridad es el auge de los ciberataques de día cero. Es decir, campañas maliciosas que explotan vulnerabilidades que aún no son conocidas y para las que no existen todavía parches de seguridad.

Por ejemplo, en los últimos días se dio a conocer a la opinión pública que una nueva botnet de la familia Mirai, un malware tristemente célebre por los ataques DDoS, había explotado una vulnerabilidad de día cero presente en los routers de índole industrial de Four-Faith para lanzar ataques de denegación de servicio distribuido.

Esta botnet bautizada homofóbicamente como Gayfemboy atacó, además, a routers y dispositivos IoT de otros fabricantes como Huawei, ASUS o LB-Link aprovechando vulnerabilidades de día cero o debilidades recientemente publicadas. Sus ataques se extendieron por industrias en China, Estados Unidos, Alemania o Reino Unido.

Los ciberataques contra routers amenazan la continuidad de negocio de miles de empresas

4. Ataques DDoS para paralizar la actividad de industrias y compañías

El caso que venimos de detallar no es una excepción. Muchos de los actores maliciosos que lanzan ciberataques contra routers de industrias y empresas buscan provocar ataques DDoS y paralizar su funcionamiento mediante la sobrecarga de los routers.

De hecho, pocos días antes de que cambiásemos de año, el fabricante de routers SHARP informó de hasta cinco vulnerabilidades que afectaban a varios de sus dispositivos. Estas vulnerabilidades permitirían a los actores maliciosos:

  • Ejecutar código arbitrario.
  • Acceder a información sensible.
  • Bloquear los routers mediante ataques DDoS.

Menoscabar la continuidad de negocio de cualquier tipo de industria puede provocar daños económicos millonarios a las compañías de ahí que los ciberataques contra routers sean una amenaza especialmente preocupante para las organizaciones del sector industrial que emplean dispositivos IIoT y sistemas ICS.

Aún mayor gravedad revisten los ciberataques contra infraestructuras críticas como las que gestionan las compañías energéticas o de aguas. Puesto que la paralización de las actividades puede afectar a cientos de miles de ciudadanos y empresas e, incluso, suponer un riesgo para la salud y el bienestar de las personas.

5. Servicios de ciberseguridad claves para prevenir ciberataques contra routers

¿Qué pueden hacer las empresas del sector industrial y el resto del tejido productivo? En primer lugar, pueden implementar buenas prácticas en materia de ciberseguridad como modificar las credenciales de administrador y los ajustes por defecto de los routers, controlar qué usuarios acceden a ellos y mantenerlos permanentemente actualizados. Pero, además, las compañías tienen a su disposición diversos servicios de ciberseguridad claves a la hora de prevenir ciberataques contra routers y redes corporativas.

5.1. De las auditorías de seguridad y los DoS Test

  1. Auditorías de seguridad para detectar problemas en los routers y dispositivos IoT y proponer soluciones para remediarlos antes de que sean explotados con éxito.
  2. Pentesting para evaluar la seguridad de las redes corporativas, identificar vulnerabilidades explotables y analizar la posibilidad de que los actores maliciosos persistan en los sistemas de las empresas de cara a lograr sus objetivos.
  3. Gestión de vulnerabilidades. Para evitar los ciberataques contra routers resulta crítico llevar a cabo una gestión de vulnerabilidades integral que abarque toda la infraestructura tecnológica de las empresas y permita controlar las vulnerabilidades conocidas y priorizar su mitigación.
  4. Detección de vulnerabilidades emergentes. Los ciberataques contra routers que se han conocido en los últimos meses evidencian la relevancia que ha adquirido la explotación de vulnerabilidades de día cero en estos dispositivos. Por eso, es fundamental contar con un equipo de detección de vulnerabilidades emergentes para mitigar las debilidades en el menor tiempo posible y evitar su explotación.
  5. DoS Test. Las pruebas de carga o denegación de servicio distribuido contra sistemas y dispositivos expuestos a internet permiten simular ataques DDoS en entornos controlados, confirmar su capacidad de resiliencia y verificar si existen vulnerabilidades que puedan facilitar esta clase de ataques.

En definitiva, los ciberataques contra routers industriales van en aumento y suponen una importante amenaza para las compañías y su operatividad. Por eso, es fundamental recurrir a servicios de ciberseguridad que permitan incrementar el nivel de resiliencia de unos dispositivos esenciales a la hora de conectar la infraestructura tecnológica de las empresas.