Recomiendan reiniciar 500.000 routers por un malware

Un malware denominado VPNFilter se ha convertido en una amenaza directa para 500.000 routers usados en el ámbito doméstico y en pequeñas empresas, así como a dispositivos de almacenamiento NAS (Network Attached Storage).

La alerta la ha lanzado la empresa Cisco, y ha llevado al Instituto Nacional de Seguridad (Incibe), la máxima institución estatal en materia de ciberseguridad, a recomendar que se reinicien los routers de marcas como Linksys, MikroTik, NETGEAR, TP-Link y QNAP.

Según el INCIBE, la solución para eliminar parte de este malware pasa por restablecer a los valores de fábrica de los routers. Además, se recomienda desactivar la administración remota del dispositivo (antes de conectarlo a Internet), mediante Telnet, SSH, Windbox y HTTP con acceso desde Internet (WAN).

Por último, se recomienda actualizar a las últimas versiones disponibles tanto el firmware, como el software de los dispositivos afectados.

El ataque registrado por los investigadores de Cisco consta de tres fase. En la primera, el malware gana persistencia en el dispositivo, es decir, aunque este sea reiniciado el malware en esta primera etapa seguirá estando presente. En las siguientes dos etapas se añaden distintas funcionalidades que mediante un reinicio del dispositivo serían eliminadas.

«Estas funcionalidades permitirían entre otras acciones el robo de información, ejecución remota de código o dañar el dispositivo incluso hasta el punto de hacerlo inoperativo, lo que llevaría a la imposibilidad del desarrollo de las operaciones diarias de cualquier pyme, causando un grave daño tanto a su imagen como a su reputación», detalla el Incibe.

A pesar de que el reinicio de los dispositivos eliminaría las partes del malware no persistentes, es importante asegurarse de que se elimina el malware instalado en la primera etapa, afirman en este organismo, así como de que se implementan los bloqueos de red necesarios para evitar las fases que proporcionan funcionalidad al malware.