D-link, el rey de los fallos de seguridad en sus routers

D-link, el rey de los fallos de seguridad en sus routers

Javier Sanz

La firma taiwanesa D-link especializada en la fabricación de dispositivos de red como routers, switches o puntos de acceso, entre otros, fue líder en vulnerabilidades en los últimos meses poniendo en riesgo a miles de usuarios.

Los fallos de seguridad entre las compañías dedicadas al hardware y software están a la orden del día, sin embargo, hay fabricantes que cometen más errores que otros. Este es el caso de D-Link. La compañía de origen taiwanés ha destacado en los últimos meses por la enorme cantidad de vulnerabilidades en sus equipos poniendo en duda la calidad de los mismos y perjudicando seriamente su credibilidad como firma líder en su segmento.

Un amplio historial

A principios de este año se descubrió una vulnerabilidad en todas las cámaras IP de D-Link de la serie DCS-9XX. Este fallo de seguridad permite la revelación de la contraseña de administrador, con el riesgo que ello supone ya que cualquier atacante podría tomar el control de la cámara IP poniendo en peligro nuestra privacidad y seguridad. D-Link fue advertida por el investigador que descubrió la puerta trasera pero de momento no ha habido solución para este asunto.

Los productos de consumo masivo como los routers tampoco se han salvado de los errores de la compañía. El pasado mes de febrero se descubrieron graves agujeros de seguridad en los equipos de la serie D-Link DIR-300 y DIR-600 que son potencialmente vulnerables para ejecutar cualquier comando linux en modo root o súper usuario sin necesidad de acceder con una contraseña u otro tipo de autenticación. La gravedad de este fallo radica en la posibilidad de que un atacante cree una página especialmente diseñada para engañar al propietario del router y envíe una serie de comandos a través de CSRF (Cross-Site Request Forgery).

Otro fallo de seguridad descubierto tiene que ver con la contraseña de root que almacena el router en texto plano. De ese modo los intrusos lo tienen más fácil para conseguir acceso al equipo.

Caso omiso

A pesar de que D-Link conoce los fallos mencionados, la respuesta oficinal brilla por su ausencia y simplemente se limitan a informar que se trata de un problema para el usuario y el navegador, no para sus routers. No deja de ser sorprendente que la compañía mire para otro lado cuando las quejas empiezan a ser comunes entre sus clientes.

El software también en problemas

Las últimas versiones del software de sus routers también son vulnerables. Las  revisiones de enero presentan fallos importantes e incluso los equipos “tope gama” como el DIR-857 N900 analizado recientemente por nuestros compañeros de RedesZone.net también fue vulnerable a un fallo de seguridad UPnP que se publicó hace meses.

Con este panorama resulta difícil confiar en la firma para adquirir un nuevo dispositivo teniendo en cuenta que la seguridad es uno de los aspectos más importantes en electrónica de consumo.