¿Es seguro su enrutador? Análisis técnico de seguridad en enrutadores populares

Los enrutadores Wi-Fi (inalámbricos) son la puerta de entrada a Internet desde y hacia computadoras y dispositivos inteligentes. Al igual que en las viviendas, es muy importante asegurarse de que las puertas de entrada y salida estén siempre debidamente cerradas, evitando la acción de intrusos. Se debe tener el mismo cuidado con nuestros enrutadores Wi-Fi.

Con el objetivo de identificar posibles vulnerabilidades, los investigadores analizaron los enrutadores de los modelos TP-LINK: TL-WR849N v6, TL-WR940N v5, D-LINK DIR-819 A3, Intelbras NCLOUD y Tenda F3. El equipo se conectó a un servidor DHCP a través del puerto WAN (acceso externo), utilizando la herramienta Nmap para realizar escaneos en cada uno de los 65535 puertos posibles para detectar posibles servicios expuestos.

Las mismas pruebas se realizaron en el puerto LAN de cada dispositivo para detectar posibles vulnerabilidades en la red local. El análisis de la red LAN (acceso interno) es importante cuando el software malicioso logra penetrar en su red local a través de correos electrónicos maliciosos, páginas web maliciosas y software descargado de fuentes no confiables.

Para evitar falsas alarmas, todos los modelos probados tenían sus versiones de firmware actualizadas a la última versión disponible por el fabricante.

El primer análisis realizado fue en relación a los ataques externos contra el router, es decir, ataques que cualquier hacker en Internet podría realizar sin necesidad de ingresar primero a la red local. Utilizando la herramienta Nmap y consultando bases de datos de vulnerabilidades de seguridad como VulDB y ExploitDB, al analizar el puerto WAN del equipo se obtuvieron los siguientes resultados:

Modelo de resultado

TP-LINK TL-WR849N v6 – No se detectó ninguna vulnerabilidad

TP-LINK TL-WR940N v5 – No se detectó ninguna vulnerabilidad

D-LINK DIR-819 A3 – No se detectó ninguna vulnerabilidad

Intelbras NCLOUD NCLOUD – Puertos 53, 6352 y 7777 abiertos. 2 vulnerabilidades detectadas.

carpa F3 – No se detectó ninguna vulnerabilidad

Se identificaron vulnerabilidades en el router Intelbras NCLOUD que presenta servicios DNS y upnP abiertos a Internet. Después de consultar la página web de soporte de Intelbras, buscando una versión más actualizada del firmware para este equipo, no se encontró ninguna corrección. La alternativa segura para los usuarios de este modelo es insertar reglas de Firewall para cada uno de estos puertos, bloqueando el acceso externo.

Este tipo de ataque puede ocurrir a través de correos electrónicos con contenido sospechoso, páginas web infectadas con contenido malicioso y también a través de programas descargados de fuentes no confiables (programas piratas, por ejemplo). A través de una computadora conectada al puerto LAN de cada uno de estos dispositivos, se realizó el mismo escaneo utilizando la herramienta Nmap, además de consultar bases de datos de vulnerabilidades de seguridad como VulDB y ExploitDB. Los siguientes resultados fueron obtenidos:

Modelo de resultado

TP-LINK TL-WR849N v6 – No se detectó ninguna vulnerabilidad

TP-LINK TL-WR940N v5 – Puerto 22 (SSH): 5 vulnerabilidades

D-LINK DIR-819 A3 – Puerto 22 (SSH): 3 Vulnerabilidades

Puerto 34938 (uPnP): 6 Vulnerabilidades

Intelbras NCLOUD – Puerto 53 (DNS): 10 Vulnerabilidades

Puerto 80 (HTTP): 4 Vulnerabilidades

Puerto 6352 (uPnP): 1 Vulnerabilidad

Puerto 7777 (uPnP): 1 Vulnerabilidad

carpa F3 – Puerto 80 (HTTP): 5 Vulnerabilidades

En este análisis, es importante señalar que el servicio SSH es algo específico para acceso especializado y no debe estar disponible para uso común en la red local. Los servicios HTTP y upnP están, en la gran mayoría de los enrutadores, disponibles para la red local. Hay que prestar atención, no obstante, al gran número de vulnerabilidades detectadas. Los programas encargados de ofrecer estos servicios en el router suelen estar extremadamente desactualizados, favoreciendo la detección y explotación de vulnerabilidades de seguridad.

A través de la herramienta Nmap, también pudimos obtener la versión de algunos servicios instalados en los enrutadores. Estos servicios son responsables de proporcionar la funcionalidad del enrutador común, como DNS y upnP. Las versiones antiguas y desactualizadas son peligrosas, ya que los piratas informáticos las explotan en gran medida y tienen una mayor cantidad de vulnerabilidades de seguridad expuestas en Internet. Vea, por ejemplo, la versión y fecha de publicación de los servicios de algunos de los enrutadores que evaluamos.

Modelo: servicio, versión y fecha de lanzamiento

TP-LINK TL-WR849N v6 – servicio UPnP: 1.6.19. Lanzado el 9/5/2012

TP-LINK TL-WR940N v5 – Servicio SSH: 2012.55. Publicado el 24/02/2012

D-LINK DIR-819 A3 – Servicio SSH: 0.51. Publicado el 27/03/2008

– Servicio HTTP: 1.19. Publicado el 19/12/2003

– servicio UPnP: 1.0. Publicado el 28/01/2008

Intelbras NCLOUD – Servicio DNS: 2.40. Lanzado el 29/8/2007

– servicio UPnP: 1.6. Lanzado el 8/4/2011

Vale recordar que todos los modelos evaluados comenzaron a venderse en Brasil después de 2016. Por lo tanto, algunos servicios tienen más de 10 años de retraso en relación a la versión actual. Las versiones actualizadas siempre son importantes ya que tienen más correcciones de vulnerabilidades de seguridad.

Mantener su enrutador actualizado es esencial para prevenir vulnerabilidades de seguridad. Sin embargo, muchas veces el propio fabricante no actualiza el firmware de sus routers, dejando expuestas vulnerabilidades conocidas tanto en la red abierta (Internet) como en su red local.