La lista de enrutadores infectados por el malware VPNFilter acaba de crecer

Desde que se descubrió hace unas dos semanas, le hemos estado advirtiendo sobre esta nueva y aterradora amenaza de malware que se dirige a enrutadores y dispositivos de almacenamiento conectados a la red (NAS). Se informó que ya se ha infiltrado en medio millón de enrutadores en 54 países, incluidos objetivos estadounidenses.

El malware, conocido como VPNFilter, se sospecha que proviene de un grupo de piratería patrocinado por el gobierno ruso conocido como Sofancy, también conocido como Fancy Bear. Si puede recordar, este grupo también está siendo culpado de varios ataques cibernéticos, incluidos los intentos serios de interrumpir las elecciones estadounidenses de 2016.

Debido al peligro que representa para los consumidores, el FBI ha emitido una solicitud urgente a cualquier persona que posea los dispositivos afectados para reiniciarlos de inmediato. El FBI también logró tomar el control del sospechoso servidor de comando y control del malware.



Sin embargo, también le informamos que si tiene un enrutador o NAS afectado, reiniciar no es suficiente. La única forma de eliminar por completo la infección de su dispositivo es hacer un restablecimiento de fábrica.

Este malware es una amenaza tan crítica ya que es capaz de espiar, recopilar datos, reinfectar, redirigir el tráfico e incluso puede dejar su enrutador inutilizable.

Ahora, han surgido nuevos detalles sobre VPNFilter y parece que es más poderoso y extendido de lo que se pensaba originalmente.

Escuche este podcast de Komando On Demand para obtener más información sobre qué buscan los hackers rusos y cómo puede detenerlos. Querrás compartir esta información importante con tu familia y amigos.

VPNFilter es peor de lo que se pensaba anteriormente

Según un nuevo informe de los investigadores de seguridad de Cisco Talos,VPNFilter está apuntando significativamente a más marcas y modelos de los que inicialmente declararon.

Cisco Talos también descubrió que VPNFilter ha ganado habilidades adicionales, incluido un módulo de ataque de hombre en el medio ahora conocido como 'ssler'.

Este módulo puede inyectar contenido malicioso en su tráfico web y alterarlo a medida que fluye a través de un enrutador infectado. También puede robar sus contraseñas y otros datos confidenciales al interceptar el tráfico de su red.


oficina 2019 vs 2016

Otro nuevo módulo, denominado Módulo de destrucción de dispositivos (dstr), también puede agregar el interruptor de autodestrucción a dispositivos infectados que no tienen la capacidad.




Entonces, además de ensamblar botnets masivas para derribar sitios web con ataques DDoS y eliminar grandes cantidades de enrutadores con su interruptor de apagado incorporado, estas nuevas capacidades implican que VPNFilter se puede usar para estafas de phishing y robo de identidad.

Con estas funciones de nivel de navaja suiza, VPNFilter es una amenaza crítica, no solo para el consumidor promedio, sino también para los sectores clave del gobierno y la industria.

Cómo funciona VPNFilter

Para entender cómo VPNFilter aparentemente puede obtener funciones adicionales y hacerse más potente con el tiempo, la infección aparentemente funciona en múltiples etapas:

Nivel 1- Esta instalación inicial se utiliza para obtener un punto de apoyo persistente en su dispositivo, lo que le permite sobrevivir incluso después de un reinicio.

Esta etapa también se utiliza para mantener el contacto con su centro de comando y control para obtener más instrucciones.

Etapa 2- La carga útil principal. En este punto, puede ejecutar comandos, recopilar archivos, interceptar datos y configurar su dispositivo.

Esta es también la etapa en la que se instalan sus características autodestructivas. Al hacerse cargo de una sección del firmware de su dispositivo, los atacantes pueden eliminar el malware de forma remota e inutilizar su enrutador.

Etapa 3- Se instalan complementos o módulos adicionales, lo que brinda a VPNFilter capacidades adicionales como espionaje de tráfico, robo de credenciales de sitios web y comunicaciones seguras a través de la red Tor.

La etapa 3 es donde VPNFilter obtiene habilidades adicionales a través de nuevos módulos.

Lista actualizada: ¿se ve afectado su enrutador?

Cisco Talos también agregó más marcas y modelos a la lista de objetivos.

Como puede ver, es significativamente más grande que la lista anterior. Mejor verifique su enrutador ahora y vea si está afectado. Se estima que 200,000 enrutadores adicionales están ahora en riesgo de infectarse con VPNFilter.

Aquí está la lista actualizada de dispositivos específicos.

Dispositivos Asus:

  • RT-AC66U (nuevo)
  • RT-N10 (nuevo)
  • RT-N10E (nuevo)
  • RT-N10U (nuevo)
  • RT-N56U (nuevo)
  • RT-N66U (nuevo)

Dispositivos D-Link:




  • DES-1210-08P (nuevo)
  • DIR-300 (nuevo)
  • DIR-300A (nuevo)
  • DSR-250N (nuevo)
  • DSR-500N (nuevo)
  • DSR-1000 (nuevo)
  • DSR-1000N (nuevo)

Dispositivos Huawei:

  • HG8245 (nuevo)

Dispositivos Linksys:




  • E1200
  • E2500
  • E3000 (nuevo)
  • E3200 (nuevo)
  • E4200 (nuevo)
  • RV082 (nuevo)
  • WRVS4400N

Dispositivos Mikrotik:

  • CCR1009 (nuevo)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (nuevo)
  • CRS112 (nuevo)
  • CRS125 (nuevo)
  • RB411 (nuevo)
  • RB450 (nuevo)
  • RB750 (nuevo)
  • RB911 (nuevo)
  • RB921 (nuevo)
  • RB941 (nuevo)
  • RB951 (nuevo)
  • RB952 (nuevo)
  • RB960 (nuevo)
  • RB962 (nuevo)
  • RB1100 (nuevo)
  • RB1200 (nuevo)
  • RB2011 (nuevo)
  • RB3011 (nuevo)
  • RB Groove (nuevo)
  • RB Omnitik (nuevo)
  • STX5 (nuevo)

Dispositivos Netgear:




  • DG834 (nuevo)
  • DGN1000 (nuevo)
  • DGN2200
  • DGN3500 (nuevo)
  • FVS318N (nuevo)
  • MBRN3000 (nuevo)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (nuevo)
  • WNR4000 (nuevo)
  • WNDR3700 (nuevo)
  • WNDR4000 (nuevo)
  • WNDR4300 (nuevo)
  • WNDR4300-TN (nuevo)
  • UTM50 (nuevo)

Dispositivos QNAP:

  • TS251
  • TS439 Pro
  • Otros dispositivos NAS QNAP que ejecutan software QTS

Dispositivos TP-Link:





comprar sam-e a granel

  • R600VPN
  • TL-WR741ND (nuevo)
  • TL-WR841N (nuevo)

Dispositivos Ubiquiti:




  • NSM2 (nuevo)
  • PBE M5 (nuevo)

Dispositivos de nivel superior:




  • Modelos desconocidos * (nuevo)

Dispositivos ZTE:

  • ZXHN H108N (nuevo)

Cómo eliminar VPNFilter (y también protegerte)

Detectar la presencia de VPNFilter en sus dispositivos es difícil ya que los enrutadores y los dispositivos de almacenamiento conectados a la red no tienen software antivirus.




Se cree que infecta los dispositivos a través de fallas sin parches debido a firmware desactualizado o contraseñas de administrador débiles.

Sin embargo, dado que VPNFilter es lo que se conoce como malware de firmware, aquí hay algunos pasos de mitigación que puede emplear.

1. Reiniciar (¡no eliminará las infecciones de la Etapa 1!)

Para su primera línea de defensa, reinicie su dispositivo de inmediato. Esto eliminará las infecciones de la Etapa 2 y la Etapa 3 de inmediato, eliminando las habilidades más dañinas de VPNFilter.

Sin embargo, dado que los componentes de la etapa 1 de VPNFilter pueden persistir incluso después del reinicio, su dispositivo seguirá siendo vulnerable a las reinfecciones de las etapas 2 y 3. Para eliminar VPNFilter por completo, deberá realizar los pasos adicionales que se detallan a continuación.

2. Realice un restablecimiento de fábrica (muy recomendable)

Para asegurarse de que el malware desapareció por completo, debe restablecer el enrutador a la configuración predeterminada de fábrica lo antes posible. Por lo general, esto implica mantener presionado el botón de reinicio del enrutador en la parte posterior durante cinco a 10 segundos.


principales servicios telefónicos

Esto eliminará todas las etapas conocidas de VPNFilter. Tenga en cuenta que al restablecer su enrutador también se eliminarán todos los ajustes de configuración, por lo que deberá ingresarlos nuevamente (o restaurarlos desde una copia de seguridad).




3. Actualice el firmware de su enrutador

A continuación, asegúrese de tener el último firmware de su enrutador. De todos modos, debe verificar las actualizaciones de firmware del enrutador al menos una vez cada tres meses.

El proceso no es tan difícil como parece. Una vez que esté en la página de administración del enrutador, busque una sección llamada 'Avanzado' o 'Administración' para buscar actualizaciones de firmware, luego simplemente descargue y aplique según sea necesario. Esta práctica también puede proteger su enrutador de futuras infecciones.

Haga clic aquí para obtener más información sobre cómo actualizar el firmware de su enrutador.

4. Cambie la contraseña predeterminada del enrutador

Cuando instaló su enrutador, ¿recordó hacer este paso crítico: cambiar su contraseña de administrador predeterminada? Básicamente, si alguien que no sea usted puede ingresar a la página de administración de su enrutador, entonces él / ella puede cambiar la configuración que desee.

Asegúrate de haber cambiado la contraseña predeterminada del enrutador. Cada hacker que valga la pena tiene acceso a todas las contraseñas predeterminadas de cada marca de enrutador, por lo que debe crear una propia que sea sólida.

Haga clic aquí para aprender cómo encontrar la contraseña de su enrutador (¡luego cámbiela!)

5. Desactiva la administración remota

Mientras está en la página de administrador de su enrutador, puede desactivar la administración remota para una mejor seguridad. La administración remota es una característica que le permite iniciar sesión en su enrutador a través de Internet y administrarlo. Si alguna vez llamó al soporte técnico, es posible que haya experimentado algo similar.

La administración remota es una herramienta útil, especialmente cuando necesita solucionar un problema, pero deja su computadora vulnerable a los piratas informáticos. A menos que lo necesite absolutamente, desactive esta función. Puede encontrar esto en la configuración de su enrutador, generalmente en el encabezado 'Administración remota'.