Blog de WatchGuard

Los routers y los puntos de acceso Wi-Fi son los dispositivos de TI más vulnerables

En la actualidad el número y la diversidad de los dispositivos conectados sigue incrementándose dentro de las empresas, sin importar al sector al que dedican su actividad. Esto ha generado un nuevo reto para las organizaciones que necesitan comprender y gestionar los riesgos a los que están expuestos.

Seguimos diciendo que la superficie de ataque se expande cada vez más y es porque ahora abarca las TI, el IoT y el OT en prácticamente todas las compañías, con la adición del IoMT en la sanidad. Aun así, los dispositivos de IT siguen siendo el principal objeto del malware, incluido el ransomware, considerándose los principales vectores iniciales de entrada para los atacantes.

En este sentido, un estudio reciente sobre los dispositivos conectados a las redes empresariales que presentan un mayor riesgo para las organizaciones afirma que los routers y los puntos de acceso inalámbricos se están convirtiendo en los puntos de entrada más comunes para el malware y las amenazas persistentes avanzadas.

Hace poco ha salido a la luz un “nuevo” modus operandi para una campaña de ataque llamada ZuoRAT que ha conseguido pasar desapercibido por casi dos años. El nivel de sofisticación de la campaña es notable y se ha conocido que se dirige a los routers de pequeñas oficinas o a personal trabajando en casa, utilizando este dispositivo como punto inicial de compromiso. ¿Cómo funciona?

  • Para iniciar, se envía a los routers un archivo MIPS compilado. Este archivo es un malware apodado ZuoRAT que está diseñado para recopilar información sobre los dispositivos y la LAN para poder acceder después de infectar un ordenador.
  • Una vez infectado, el malware enumera los hosts y la LAN interna. Además, tiene la capacidad de capturar los paquetes de red que se transmiten a través del dispositivo infectado y realizar un ataque man-in-the-middle como el secuestro de DNS y HTTP basado en un conjunto de reglas predefinidas. La operación de secuestro es el vector de acceso para el despliegue de los subsiguientes cargadores de shellcode en las máquinas de la red local.
  • El siguiente paso es pasar del router a las estaciones de trabajo en la red, desplegando un cargador de Windows que se utiliza para descargar y ejecutar uno de tres troyanos diferentes: CBeacon, GoBeacon o CobaltStrike.

Esta campaña ataca, por lo general, a organizaciones estadounidenses y europeas. Al menos 80 objetivos se vieron afectados en un periodo de nueve meses, pero se sospecha que pueda haber muchos más.

Para detectar este tipo de amenazas, es necesario desplegar soluciones de detección debidamente configuradas y actualizadas.

Redes inalámbricas inquebrantables y una red empresarial segura

El aumento del teletrabajo y el trabajo híbrido ha hecho que la forma de conectarse a internet cambie para los empleados y complique la gestión de los riesgos para los responsables de IT. Los equipos corporativos ahora acceden constantemente a internet desde una red casera que puede estar desprotegida en lugar de hacerlo desde la red protegida en la oficina física.

Esto da lugar a nuevas necesidades de seguridad que pueden ser solventadas al incorporar puntos de acceso Wi-Fi seguros y software de gestión de redes inalámbrica que ofrezcan una conectividad optimizada. Además de brindar un conjunto de funciones inalámbricas completas y eficaces aportarán el cifrado seguro que requieren los entornos de trabajo actuales. Pero, la principal ventaja es una vista integral que permite la monitorización y generación de informes detallados del entorno inalámbrico ofreciendo a los administradores de TI la visibilidad necesaria para determinar el desempeño que tienen los puntos de acceso Wi-Fi. Esto posibilita conocer el estado del dispositivo y, lo que es más importante, saber el estado de salud del mismo, facilitando mantener las actualizaciones al día para evitar potenciales vulnerabilidades.

Combinar esta solución con un cortafuegos proveerá a los usuarios protección contra ataques sofisticados como ZuoRAT, ya que evitará que algún malware oculto en el tráfico cifrado sea capaz de acceder a la red empresarial. En Akubra, una empresa que diseña, fabrica y distribuye icónicos sombreros australianos, fueron conscientes de que esta era la vía que debían tomar para reducir considerablemente el número de amenazas que se dirigían a sus servidores. Nuestras soluciones han permitido al equipo de IT tomar decisiones acertadas en cada momento y mantener así los niveles de seguridad óptimos, traduciéndose en un incremento de la productividad y la satisfacción de sus empleados.

Como queda en evidencia con el caso de Akubra, contar con las soluciones de protección adecuadas significa que los negocios pueden enfocar sus esfuerzos en otras áreas que añaden valor al negocio. Hoy en día no existen empresas que no necesiten acceder a internet, por lo que la mejor forma de proteger los dispositivos más vulnerables conectados a su entorno es buscar un proveedor de ciberseguridad que pueda ofrecer las soluciones avanzadas que necesitan.