Uno de los routers más populares del mercado, que se vende actualmente en más de veinte países, está siendo atacado de manera masiva por ciberdelincuentes con el objetivo de infectarlo y ponerlo al servicio de la red botnet del Internet de las Cosas Satori. A través de esta, que puede afectar desde los mencionados routers hasta cámaras de seguridad o termostatos, es posible utilizar los dispositivos infectados para realizar acciones como ataques DDoS o minado de criptomonedas a través de la suplantación de las carteras de destino.
Satori, que cuenta ya con un largo historial de atribuibles maldades, está ahora volviendo a realizar ataques masivos a los routers, uno de los dispositivos más interesantes para los fines que se plantea. En concreto, en este caso se trata del modelo DSL-2750B de la marca D-Link, el cual se puede comprar en España a través de proveedores como Amazon, Fnac, El Corte Inglés o Media Markt por precio que oscila entre los 30 y los 60 euros. No obstante, no es el único país en el que este terminal cuenta con cierta popularidad, siendo utilizado aún en mayor medida en otros territorios como Francia, Italia o Estados Unidos.
Sin actualizaciones desde 2015
Para perpetrar estos ataques que se están llevando a cabo, Satori hace uso de un código que se liberó de manera pública en 2016 llamado Mirai, el cual hace posible realizar ataques en masa a dispositivos electrónicos que se encuentran en las redes del hogar y acceder al control de los mismos, así como la información a la que tienen acceso. De esta manera, el atacante puede controlar de manera remota los terminales infectados y utilizarlos a voluntad para los más diversos fines.
El uso personalizado que Satori le está dando a este código, que ha ido evolucionando durante los últimos dos años, lo convierte en un gusano que aprovecha la vulnerabilidad de los routers de la marca para ir extendiéndose de uno a otro como si de una plaga se tratara. Al infectar un nuevo dispositivo, se ejecuta un comando que descarga un script alojado en un servidor determinado y posibilita de esta manera que siga extendiéndose sin control alguno.
Se trata de un problema de considerables dimensiones si tenemos en cuenta que lleva ya días propagándose y que el pasado mes de septiembre la misma red botnet consiguió infectar 100.000 aparatos en apenas 12 horas. Las consecuencias de esto, de no llegar una solución rápida, pueden ser mayúsculas para los usuarios de alguno de estos terminales, que en muchas ocasiones son proporcionados por defecto por las compañías de telefonía que proveen el servicio.
Además, el problema adquiere especial relevancia cuando se sabe, tal y como revelan desde Ars Technica, que la vulnerabilidad de estos modelos se conoce desde el año 2016 y que el software del router no se actualiza desde el año 2015. No hay noticias, por el momento, de si la compañía planea liberar una actualización que solvente la vulnerabilidad.