Talos, la división de inteligencia de ciber-seguridad de Cisco detectó un malware denominado VPNfilter el cuál infecto a no menos de medio millón de enrutadores (Routers, por sus siglas en inglés). El FBI y alguna Agencias de Seguridad Internacionales recomendarón reiniciar los enrutadores sobre todo los de la PYMES y los del Hogar. (Ver: https://www.ic3.gov/media/2018/180525.aspx)

La empresa de seguridad Securizame asegura que la infección "es persistente", lo que significa que permanecerá instalado en los enrutadores aunque se reinicien los equipos. Mientras no se haya instalado una actualización del software que solucione la vulnerabilidad, éste podrá ser comprometido nuevamente (Esto debido al simple hecho de estar expuesto a Internet todo el tiempo)

Fases del malware VPNFilter

Fase I

El malware se instala y se camufla para evitar ser detectado.

Fase II

El atacante puede ejecutar diferentes comandos y de esa manera robar los datos. hacer que el enrutador funcione mal o deje de funcionar. Al incluir un ‘kill switch’ (interruptor de apagado), también podría destruir los equipos dejándolos inoperativos y eliminar el acceso a Internet para cientos de miles de usuarios, además de inspeccionar el tráfico y robar datos confidenciales. Los atacantes podrían mediante esta botnet compartir datos entre los dispositivos y coordinar un ataque masivo utilizando los equipos como nodos.

Fase III

Se realiza el proceso de monitoreo de las comunicaciónes y el rastreo de todo tipo de conexiones que pasa através del enrutador.

Si bien es cierto que el sólo proceso de reiniciar el enrutador permitiría evitar las fases II Y III, el problema no desaparece ya que aún continúa instalado el malware.

[Fuente1](https://blog.segu-info.com.ar/2018/05/reiniciar-el-router-para-detener-la.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+NoticiasSeguridadInformatica+%28Noticias+de+Seguridad+de+la+Informaci%C3%B3n%29)
[Fuente2](http://www.abc.es/tecnologia/redes/abci-no-reiniciar-router-no-librara-ultimo-ciberataque-ruso-201805290055_noticia.html)
[Fuente3](http://noticiasseguridad.com/hacking-incidentes/fbi-lanza-una-alerta-internacional-para-routers-cisco-por-ser-faciles-de-hackear/)

Routers conocidos por ser afectados por VPNFilter:

De acuerdo a los reportes de Cisco, Symantec y el Servicio de Securiad de Ucrania, los enrutadores afectados son:

1. Linksys E1200
2. Linksys E2500
3. LinkSys WRVS4400N
4. Mikrotik RouterOS Versions for Cloud Core Routers: 1016, 1036, 1072
5. Netgear DGN2200
6. Netgear R6400
7. Netgear R7000
8. Netgear R8000
9. Netgear WNR1000
10. Netgear WNR2000
11. QNAP TS251
12. QNAP TS439 Pro
13. Otros dispositivos QNAP NAS ejecutándose software QTS;
14. TP-Link R600VPN

[Fuente](https://www.bleepingcomputer.com/news/security/reboot-your-router-to-remove-vpnfilter-why-its-not-enough/)

Para eliminar por completo VPNFilter y proteger su enrutador contra la infección nuevamente, debe seguir estos pasos:

1. Restablecer el enrutador a los valores predeterminados de fábrica: Linksys * Netgear * MikroTik * QNAP * TP-Link
2. Actualizar a la última versión de firmware: Linksys * Netgear * MikroTik * QNAP * TP-Link
3. Cambie la clave de administrador predeterminada: Linksys * Netgear * MikroTik * QNAP * TP-Link
4. Deshabilitar la administración remota: Linksys * Netgear * MikroTik * QNAP * TP-Link

Las advertencias de los fabricantes de enrutadores con respecto a VPNFilter se pueden encontrar en: Linksys * MikroTik * Netgear * QNAP * TP-Link

Resetear Router

los usuarios de los dispositivos afectados deberían reiniciar esos dispositivos en cuanto les sea posible. Si lo hacen se eliminarán los componentes destructivos de VPNFilter, algo que hace recomendable (comos siempre) la actualización a nuevas versiones del firmware de esos dispositivos que corrigen el problema.

Glosario: