Crece el número de routers atacados para cambiar sus DNS por otras falsas

Redes

En abril os explicamos cómo miles de routers habían sido hackeados para cambiarles las DNS. Este tipo de ataques empezó a ser cada vez más común y parece que la cosa sigue yendo a más con el paso de los meses. Básicamente, el ataque buscar cambiar las DNS legítimas, ya sean del operador o de terceros, por unas maliciosas que luego nos llevan a páginas webs falsas que roban nuestros datos y credenciales de acceso. Ahora se ha detectado que crece el número de routers atacados para cambiar sus DNS por otras maliciosas.

En un primer momento, hasta 15.000 usuarios de routers de diferentes marcas habían sido hackeados. Para el cambio de las DNS se aprovechaba una vulnerabilidad en el firmware de estos routers que les permite hacer cambios en la configuración sin que nadie se dé cuenta. El ataque en cuestión accede al router (siempre con contraseñas por defecto) y cambia los ajustes de DNS.

Para el usuario es un proceso transparente del que no tiene conocimiento. A partir del cambio, una vez que visita Facebook en realidad las DNS maliciosas le redirigen a una IP que imita la apariencia de Facebook, pero que sólo buscar robar sus datos personales. Este tipo de ataques se conocen como DNSChanger y parece que cada vez son más habituales, por lo que deberíamos empezar a extremar las precauciones.

router d-link dns hacked

Ataques contra routers para cambiar sus DNS por otras maliciosas

Un reciente artículo confirma un repunte de los ataques, concretamente en Brasil, pero también en otras localizaciones. Con un exploit kit conocido como GhostDNS en un primer momento y después sustituido por SonarDNS, hasta 4,6 millones de ataques han sido detectados desde el 1 de febrero de este año.

Como hemos dicho, el ataque se aprovecha de no haber cambiado la contraseña por defecto del router y mantener combinaciones como:

  • admin:admin
  • admin:
  • admin:12345
  • Admin:123456
  • admin:gvt12345
  • admin:password
  • admin:vivo12345
  • root:root
  • super:super

El listado de modelos afectados ha crecido desde que dimos la primera noticia, aunque comprende principalmente modelos desfados o que no se venden ni siquiera en nuestro país. Además de estar muy atentos a las URL que accedemos, deberemos mantener siempre el firmware del router actualizado. En caso de tratarse de un modelo muy viejo, más vale que lo cambiemos por otro más moderno. Finalmente, debemos chequear las DNS que estamos utilizando para navegar, pudiendo optar por las del operador o por las de terceros como 8.8.8.8 de Google, 9.9.9.9 de IBM, 1.1.1.1 de Cloudflare o cualquier otra.

Escrito por Claudio Valero

Fuente > avast

Continúa leyendo
  • Me toco los cojones

    Utilizo las DNS de AdGuard adiós a la publi y van rápidas, también me sirve para la Smart TV

    • Franco Castillo

      ¿Y cuáles son?

      • Me toco los cojones

        Las que utilizo son estas 2: 176.103.130.130, 176.103.130.131

        • Franco Castillo

          Mucho retraso tengo: unos 160 ms. Mejor sigo con los de CloudFlare que son MUCHISIMO mas rápidos: menos de 10 ms.

  • disqus_kMUfsEZhHt

    Lo tplink tl-wr940 y 840 tambien estan afectados

  • Luis

    el de hgu de movistar, no pueden entrar, porque ya no usan ni admin, ni sucedaneos. Lo malo que la gente, por ponerse claves y pins tan faciles, dejan la puerta abierta a todo

  • Eduardo Miñana

    mi router vodafone cuando lo apago se quita
    mi contraseña y vuelve a admin, admin,