Año y medio después de que vulnerabilidades conocidas por la NSA y fueran utilizadas para realizar ataques de ransomware o de minado de criptomonedas a lo largo del mundo, sus herramientas siguen infectando a millones de equipos todavía no actualizados.
Según recoge TechCrunch, la empresa dedicada a la ciberseguridad Akamai afirma que ahora los atacantes están usando la vulnerabilidad UPnProxy de forma más avanzada. Penetran así en las redes locales y afectan a computadoras no parcheadas en estas. Según reportes anteriores, este método ya estaba siendo utilizado para infiltrar tráfico malicioso que podía ser utilizado para realizar ataques DDoS, infecciones de malware o difusión de spam.
La diferencia es que hasta ahora, y en lo que se tenía constancia, estos dispositivos estaban siendo protegidos por el enmascaramiento de IP de los propios routers:
«Aunque es desafortunado ver cómo se utiliza UPnProxy para atacar sistemas hasta ahora protegidos detrás del enmascaramiento IP, estaba destinado a pasar en algún momento».
Por el momento, se han detectado dos de estas herramientas de la NSA siendo utilizadas por esta vía: Eternal Blue, que actúa a modo de puerta trasera en ordenadores con Windows y EternalRed, que afecta a dispositivos Linux. Desde Akamai denominan a este nuevo ataque EternalSilence, afirmando que ya afecta a más de 45.000 dispositivos aunque reconocen que quizás su alcance se acerca al millón.
Puesto que ambas vulnerabilidades estaban ya corregidas, este nuevo método simplemente intenta acceder a las computadoras que no estén, más de un año después, todavía actualizadas. Para los equipos ya afectados, actualizar el software puede no ser la solución definitiva, si es que ya se han colado en él. Debido a la dificultad para detectar estas herramientas y aunque deshabilitar UPnP en nuestro router podría bastar, lo más seguro sería «reemplazarlo completamente».
Con información de FayerWayer