No en pocas ocasiones pensamos que el trabajo de un analista forense informático consiste en pasarse varias horas al día delante de la pantalla de una ordenador con distintas consolas de comandos abiertas de fondo oscuro y letras verdes, mientras trata de averiguar que es lo que ha sucedido en un sistemas informático. La realidad difiere un poco de esta idea, hoy os voy a poner un ejemplo de alguna de las otras destrezas de las que tiene que disponer una analista forense informático.
El caso es el siguiente, un pendrive 3.0 de marca Kingston DataTravel con 32Gb que no da ninguna señal de funcionamiento al conectarlo al puerto USB y del que hay que extraer toda la información que contiene. Solo con está información ya es normal presuponer que el dispositivo tiene algún tipo de fallo físico que le impide funcionar correctamente. La única forma de recuperar la información que contiene es repararlo.
Lo primero será desmontar el pendrive para extraer los componentes del interior de la carcasa metálica, este modelo en concreto va pegado con una resina epóxica. Ayudados de una pequeña cuchilla y haciendo un poco de palanca con mucho cuidado se puede separar la carcasa metálica del resto de componentes. Al extraer la placa ya se puede ver que los pines de conexión del bus USB 3.0 (azules) están rotos, es decir, está separada una pieza de la otra y para que funcionen tienen que estar soldadas, así que ya tenemos claro que no pinta bien la cosa.
Fig. Pendrive Kingston DT dañado
¿Y ahora que hacemos?, pues no nos queda otra que tratar de reparar el pendrive para poder acceder a la memoria interna del dispositivo. Existen diversos métodos para lograrlo, vamos a explicar el mas sencillo: tratar de restaurar las soldaduras del conector para poder conectarlo de nuevo.
Antes de nada, es necesario entender que un conector USB 2.0 y 3.0 no son exactamente iguales, aunque ambos son compatibles entre si, el 3.0 tiene cinco pines mas que el 2.0, pero para extraer la información del pendrive no tenemos que hacerlo necesariamente por el bus USB 3.0, lo podemos hacer por el 2.0, que aunque sea mas lento, solamente tendremos que restaurar cuatro pines en vez de nueve. En teoría se podría restaurar los 9 pines sin problema, incluso el pendrive se podría volver a utilizar de nuevo. Pero al estar tan juntos físicamente la operación se complica, es necesario tener herramientas de soldadura profesional. En la siguiente imagen, se pueden ver en la parte superior los 4 pines del bus USB 2.0 y en la parte inferior los 5 pines adicionales que convierten un USB 2.0 en 3.0. La genialidad, es que si a un USB 3.0 solamente se le conectan los pines del 2.0, funcionará igual, lo único que a una velocidad de transferencia inferior. Un ejemplo: la transferencia de un USB 2.0 es de unos 480 mbps, sin embargo el USB 3.0 rinde diez veces más.
Fig. Datasheet conexiones USB 2.0 y 3.0
Vamos a por la reparación, lo primero será limpiar y sanear los conectores, normalmente están expuestos a la suciedad y el óxido, con un poco de alcohol isopropilico y una dremel con un disco de pulido (a muy bajas revoluciones) los dejaremos como nuevos, eso si, con cuidado de no pasarnos y dañar lo poco que nos queda de los conectores visibles. Es muy importante que los pines no tengan continuidad eléctrica entre si, de lo contrario existiría un corto circuito que podría dañar definitivamente y sin posibilidad de recuperación la información del pendrive.
Fig. Dremel con el disco de pulido
Una vez que todo esté bien limpio, presentamos los conectores sobre la placa del pendrive y comprobamos que todos los pines coinciden en su posición correctamente, es conveniente ayudarse de una lupa y un porta placas de pinzas, de este modo nos será mas sencillo poder soldar con precisión los nueve conectores de la placa. A continuación se puede ver la escasa separación que existe entre los pines, lo que implica que es necesario tener mucho pulso para dar los puntos de soldadura sin comunicar dos pines, lo que sería fatídico. Como ejemplo, en un milímetro prácticamente entran dos pines, imaginaos los difícil que es soldar un pin sin tocar el otro.
Fig. Conexiones pendrive USB 3.0 dañadas
Para poder realizar esta soldadura, que es la parte mas critica de la operación, además de una lupa y unas pinzas de sujeción necesitaremos alguna otra herramienta, lo primero será disponer de un soldador de estaño con regulación de temperatura y punta extra fina. También necesitaremos un limpiador de puntas dónde ir depositando los restos de estaño que se vayan quedando pegados en la punta del estañador.
En este artículo de GLIDER os traigo una reseña de mi nuevo libro: “Así monté mi propia instalación de Energía Solar”. En este libro explico como funciona la energía solar, y como puedes aprovecharla para realizar tu propia instalación fotovoltaica con la que ahorrarás cientos de euros al año. Pero no todo es tan sencillo, tendrás que hacer algún cálculo, sobre todo de amortización, para que compruebes según tus consumos eléctricos si te merece la pena invertir en una instalación de este tipo. Además, deberás determinar a partir de cuanto tiempo amortizarás las instalación. Si tu objetivo es meramente ayudar al medio ambiente reduciendo tus emisiones de CO2, entonces no hará falta que hagas ningún cálculo, una instalación solar fotovoltaica reducirá tu huella de carbono desde el primer momento.
– ¿Y qué tiene que ver un Hacker con la energía fotovoltaica?. – Un hacker es un apasionado de las nuevas tecnologías, alguien que trata de solucionar problemas llevando la tecnología más allá de lo esperado. De eso exactamente es de lo que trata este libro: de exprimir al máximo la tecnológica fotovoltaica para solucionar un problema, los altos costes de la energía eléctrica que provocan que suframos facturas desorbitadas y la contaminación que generan algunos sistemas de producción eléctrica. – ¿Existirá alguna solución para estos dos problemas? – Solo tienes que comprar el libro para poder averiguarlo y descubrir que de la necesidad nace el ingenio, y del ingenio salen las soluciones que nos pueden permitir ahorrar cientos de euros en la factura eléctrica, además de contribuir con la mejora del medio ambiente. Una solución al más puro estilo de esta web: DIY o Do It Yourself (Hazlo tú mismo).
Empezaré por el final, ¿merece la pena instalar paneles fotovoltaicos? Esa fue la pregunta que me hice hace unos meses y que ahora trataré de responder en este libro. En abril del año 2021 los precios de la electricidad estaban disparados y en mi casa lo tenemos todo eléctrico: calefacción, agua caliente sanitaria, cocina, etc. Por una parte, tenerlo todo eléctrico es bastante cómodo ya que solamente hay que gestionar una sola factura, no hay que preocuparse del resto de servicios como el gas o el gasoil para la calefacción. El inconveniente es que si sube el precio de la electricidad no hay margen de maniobra para reducir costes, y vaya si subió… Así empezó todo.
Comencé a pensar en cómo podía encontrar una solución para este problema. 1.500€ al año en electricidad era demasiado. Tampoco hacía falta encontrar una solución perfecta, con lograr contener el precio de la subida eléctrica ya era suficiente. Valoré varias opciones: cambiar el sistema de calefacción de acumuladores eléctricos por un sistema de caldera de gas, también pensé en instalar una caldera de biomasa (pellet) o incluso de gasoil. El inconveniente de estas soluciones es que aun así tendría que seguir dependiendo de comprar gas, biomasa o gasoil. Nadie me garantizaba que el precio de estos productos no se iba a encarecer todavía más. Por si no fuera poco, tendría que hacer una inversión muy importante para instalar una caldera y los radiadores de agua, los presupuestos rondaban los 9.000€.
Fig. Sistema de calefacción renovable.
Todavía no me había dado de cuenta, pero tenía la solución a mis problemas delante de mis ojos, o mejor dicho: encima. La solución era el sol. En España hay unas 2.500 horas de sol al año, incluso hay zonas como Huelva que rozan las 3.500 horas de sol. Otros países como Portugal, Italia, el sur de Francia, Grecia, Egipto, etc., también disfrutan de un gran número de horas de sol al año. Aunque el récord lo tiene Yuma, en Estados Unidos, con más de 4.000 horas de sol al año. Por el contrario, países como Noruega son los que menos horas de sol pueden disfrutar al año.
Aprovechando que España es un país soleado, no sería descabellado pensar que esa energía solar se podría aprovechar para generar energía eléctrica “gratis”. Sería una forma de abaratar la factura de la luz. En aquel momento, abril de 2021, ya había en España bastantes viviendas unifamiliares con placas de energía solar de agua caliente en sus tejados. Al ser viviendas de nueva construcción estaban obligadas a instalar fuentes de energía renovables para obtener la cedula de habitabilidad. Pero estas placas solamente se pueden utilizar para calentar un depósito de 80 litros de agua destinada al uso sanitario: ducha, lavabo y cocina. Esa solución tampoco era suficiente, en el mejor de los casos podría ahorrar los 1.200W que consume el termo eléctrico de agua caliente, pero nada más.
La solución tenía que ser otra. Comencé a estudiar la viabilidad de una instalación solar fotovoltaica, de este modo podría producir electricidad propia y no tendría que comprar energía a la compañía eléctrica. Sobre el papel parece un plan sin fisuras, pero… ¿funcionará en la vida real?. Antes deberemos entender una serie de conceptos importantes que nos ayudarán a tomar una decisión lo más acertada posible. Como por ejemplo, descubrir qué tipo de paneles solares son los idóneos y aprender a montarlos en el tejado con la posición e inclinación adecuada, te explicaré qué inversor se adapta mejor a tus necesidades. ¿Necesitas baterías? También te diré cómo funcionan e incluso te enseñaré a construir tu propia batería de litio. Por supuesto, detallaré cómo será la instalación eléctrica de corriente continua y de alterna para que cumpla la normativa, verás cómo optimizar al máximo la electricidad generada por tu instalación fotovoltaica a través de sistemas domóticos y de gestión de excedentes, también te contaré todos los problemas que se te puedan presentar y cómo solucionarlos.
Fig. Sistema domótico Home Assistant.
En mi caso la motivación medioambiental no era la que me había llevado a valorar la opción de la instalación fotovoltaica. Aunque una vivienda que consuma energía eléctrica de origen renovable reducirá su huella de carbono en el medio ambiente, mi objetivo en un primer momento era solamente realizar un estudio económico para valorar la viabilidad de la inversión, es decir: invertir un dinero, determinar en qué momento se amortiza y calcular los beneficios durante los siguientes años de funcionamiento. Sin buscarlo, también he descubierto que con este proyecto estaba ayudando al medio ambiente. Simplemente como curiosidad y sin entrar en profundidad os diré que he logrado reducir en 361Kg al mes la huella de CO2 de mi casa, lo que equivale a 1 árbol plantado cada mes. No está nada mal.
Fig. Beneficios medioambientales de mi instalación fotovoltaica
Otra ventaja, que ya os la adelanto, es que hemos ganado en calidad de vida. Al tener una producción de energía eléctrica “gratis” podemos tener la casa uno o dos grados más caliente en invierno y más fresca en verano, esto al final y al cabo se traduce en confort a la hora de pasar buenos momentos en casa. Además, prácticamente a partir del mes de febrero, comienza a haber un excedente de energía eléctrica que ya no tenemos en qué aprovechar, y lo solemos utilizar en poner un lavavajillas o la lavadora por las mañanas para aprovechar las horas de sol. De este modo nos sale totalmente gratis (solamente tenemos que pagar el consumo de agua). En verano también podemos tener la casa más fresca utilizando el aire acondicionado sin gastar un solo céntimo.
Fig. Autonconsumiendo carne roja, si crees que el que sufrió en la foto fue el cerdo, Pulsa Aquí
Esto del auto-consumo, parece que se acaba de inventar o que es la nueva moda, pero nada más lejos de la realidad. Mi padres hace 40 años si que eran auto-consumidores, sembraban sus propias patatas; tenían sus pequeña viña para producir vino que luego consumían en casa, si la cosa iba bien hasta podían vender el que le sobraba; tenían su huerto con tomates, pimientos, sandías, melones, cebollas, guisantes, garbanzos, zanahorias, ajos, lechugas… cultivaban trigo y maíz para alimentar a los dos cerdos que teníamos en casa, uno para nosotros y el otro para vender. Del cerdo se aprovecha todo, !vaya si se aprovecha!. Lógicamente, era otra época, pero la situación era la misma. Hoy en día con los precios de la electricidad disparados, y diría también que inflados artificialmente, no nos queda otra que volver a recurrir a los «métodos de vida» de autoconsumo para contener en este caso los precios de la electricidad.
Entonces… ¿merece la pena económicamente instalar paneles fotovoltaicos? En libro te lo explicaré.
Fig. Primera y tercera posición en los más vendidos de Amazon
Tanto si estás pensando en instalar paneles solares fotovoltaicos en tu vivienda o en una comunidad de vecinos, si ya eres instalador autorizado de energías renovables o quieres serlo, si ya tienes una instalación fotovoltaica y la quieres mejorar o si simplemente quieres aprender cómo funciona la energía fotovoltaica desde cero, este es tu libro.
¡Nos vemos en los tejados!
Actualmente el único canal de venta oficial de este libro es Amazon, tanto en su Versión en formato Tapa Blanda, como en su Versión en eBook. En formato tapa blanda se puede comprar online en mas de una veintena de países de todo el mundo. Si no está disponible en tu país, siempre puedes recurrir a la versión eBook disponible globalmente, incluso a través del sistema Kindle Unlimited de Amazon, para disfrutar de una tarifa plana de libros online. Aunque no es la forma oficial de conseguir el libro, si alguien desea un ejemplar firmado, y de paso una pegatina de GLIDER 😉 , me puede escribir a través de esta Dirección de Email realizando la solicitud y ya le explicaría los pasos a seguir. El precio sería el mismo, siempre y cuando el envío se realiza a la península ibérica, los plazos de entrega se podrían demorar unos días. No descarto en un futuro “informatizar” el proceso.
Cada día que pasa son más las corporaciones, pymes o administraciones públicas que sufren un ciberataque en su red de datos, en el mejor de los casos la empresa se queda sin poder operar durante unas horas o días, en el peor, los datos nunca van a poder ser recuperados y la empresa desaparecerá. ACTUALIZACIÓN: Comencé a escribir este artículo el domingo 18 de abril, hoy es sábado 24 de abril, durante esta semana en España se han producido al menos cinco ciberataques graves contra empresas privadas y administraciones públicas, prácticamente un ataque por día. De ahí la importancia de aplicar políticas de ciberseguridad en nuestras redes, será caro hacerlo (que tampoco lo es tanto), pero mas caro es no hacerlo.
En este artículo no os voy a contar como protegeros de un WannaCry, NotPetya, Ryuk, Cobalt Strike, Mirai y del resto de animales del zoológico cibero quizás sí, tampoco os voy a decir que instaléis un antivirus, me imagino que ya lo habéis hecho. Es cierto que podemos englobar los ciberataques actuales en dos grandes bloques, las APT (Amenazas Persistentes Avanzadas), es decir, un ataque en el que se su objetivo se centra en una única empresa o corporación y hasta que no lo consiga, no parará, por suerte no son los más comunes. El segundo tipo de ciberataque son los del tipo indiscriminado, es decir, un grupo de cibercriminales lanza su ataque de forma global a miles de usuarios sabiendo que un pequeño porcentaje de ellos se convertirá en víctimas, estos si son los más habituales hoy en día.
Fig. distintos tipos de ciberataques.
¿Y por qué los ataques indiscriminados son los más habituales?, muy sencillo, los cibercriminales buscan el máximo rendimiento con el mínimo esfuerzo, por desgracia, hoy en día son tantas las administraciones públicas y empresas que no tienen un mínimo de seguridad en su infraestructura de red, que resulta preocupantemente fácil realizar un ataque contra su red sin apenas complicaciones. Tan solo tienen que encontrar alguna que sea vulnerable.
Obviamente, en este artículo no me voy a centrar en ningún caso real de ciberataque que hubiera ocurrido en los últimos días, no me hace falta, ya son muchos años los que llevo viendo este tipo de ataques y todos logran su objetivo por la misma razón, no tener un mínimo de seguridad en las infraestructuras de red, además, de no disponer de un plan de contingencia para saber qué hacer cuando ocurra una desgracia. Tener un plan de contingencia nos permite no tener que “correr como pollos sin cabeza” el día del ataque. Si la respuesta ante un incidente de ciberseguridad no está entrenada e integrada en la dinámica de la empresa, le estamos facilitando todavía más el trabajo a los cibercriminales, y si, digo bien, trabajo, para ellos esto es su trabajo, tienen sus oficinas, horario, su máquina de café, sus mesas, sus pizarras, su organización jerárquica, recursos humanos, técnicos, objetivos a cumplir, con una única diferencia a un trabajador normal, sus objetivos son cometer delitos.
Fig. ransomware
A continuación, os voy a exponer 10 #CiberConsejos que si implementáis en vuestra corporación, la posibilidad de sufrir un ciberataque como los que están abriendo titulares últimamente se reducirá casi a cero. Obviamente, la seguridad total no existe y por lo tanto se deberá establecer un plan de contingencia para que cuando todo falle, saber que hacer. Por supuesto, estos consejos no nos impedirán ser víctimas de un ataque avanzado o tipo APT, incluso cometido por alguien desde dentro, pero si os garantizo que les complicará mucho poder ejecutar el ataque, o al menos, reducirán enormemente los daños producidos. Comenzamos.
1. Segmentación de la red.
Para mi este es uno de los puntos clave de todo este artículo, la segmentación lógica de red. Imaginemos una empresa mediana que tiene cinco o seis empleado en contabilidad, quince o veinte en atención al público y cuarenta desarrollando la tarea propia de la empresa, todos ellos con un ordenador delante durante toda la jornada laboral. Un día cualquiera, un empleado de contabilidad recibe un email en el que le envían una supuesta factura, una factura como tantas otras que recibe todos los días, la abre y le salta un aviso que dice algo de habilitar los macros, lo hace y ¡pum!, toda la empresa al garete. Sin embargo, si esta empresa tuviera su red informática segmentada, por ejemplo, en VLANs, una red virtual por cada departamento, el ransomware quedaría contenido en esa VLAN (departamento) y en las carpetas compartidas que en ese momento tuviera montadas, de ahí la importancia de mapear solamente las rutas o carpetas que sean necesarias para cada usuario, no mapear la raíz y luego que cada usuario vaya accediendo a sus carpetas. Ya sé que lo segundo es lo más fácil para todos, usuarios y administradores, pero ya os digo que en caso de ransomware os vais acordar del día que se os ocurrió tener toda la cabina/NAS mapeado a la raíz para todos los usuarios.
Fig. topología típica de VLANs
Hoy en día hay switchs configurables de muy buena calidad a un precio muy contenido, no es como hace unos años que para conseguir uno de esos switchs había que hacer una inversión muy importante. Cierto es, que en esta configuración de VLAN, cada departamento deberá tener su propio enrutador (aunque sea virtual) y que el administrador de red tendrá que crear reglas en el FW para interconectar los servicios que si se tengan que “ver”, pero a nivel de red no es lo mismo tener todos los puertos TCP/UDP de todas las máquinas visibles entre sí. En este punto concreto y en el artículo en general no estoy hablando de contener el 100% de los ataques, eso siento decirlo, pero es imposible. El objetivo es reducir lo máximo posible la probabilidad de ataque y en caso de que se produzca reducir el impacto. Si soy albañil y estoy en un quinto piso arreglando una cornisa, voy a intentar por todos los medios no caerme, pero si me caigo, tengo que tratar que las consecuencias de mi caída sean las mínimas, por ejemplo, poniendo una red. Ya os imaginareis que el resultado no va a ser el mismo si me caigo con red o sin red (de tela, no de datos jeje). En el mundo ciber ocurre exactamente lo mismo, sé que me van atacar y existe la posibilidad que alguien lo logre, si eso ocurre tengo que estar preparado para que las consecuencias del ataque sean las mínimas posibles.
Fig. configuración de VLANs en un switch configurable
Además, la implementación de VLAN no solo nos va a ayudar en el caso de un ransomware, por ejemplo, si una máquina/PC/lo que sea, es comprometida, el atacante lo va a tener muy complicado para poder pivotar/acceder a otros departamentos de la empresa. Los últimos ataques a empresas o administraciones públicas lo demuestran, no disponían de redes suficientemente segmentadas, por lo tanto, cuando el ciber delincuente accedía a uno de sus equipos, del modo que fuese, ya tenía acceso completo a todos los recursos de red y eso ya os podéis imaginar que es lo peor que nos puede ocurrir en lo que a ciberseguridad respecta.
Mientras que las ovejas de la familia de las churras proporcionan una excelente leche y carne, las merinas son conocidas por su lana blancade alta calidad. Por lo que no es para nada una buena idea ordeñar una merina para aprovechar su leche o hacerse un abrigo con lana de una churra. Pese a que amabas puedan parecer ovejas, y lo son, sus características hacen que sean muy distintas aunque a simple vista parezca lo contrario.
Fig. Ovejas merinas
En el mundo ciber ocurre lo mismo, podemos tener dos ciberataques que parezcan iguales, pero en realidad sus diferencias hacen que no tengan nada que ver el uno con el otro, un buen experto en ciberseguridad deberá entender y ser capaz de identificar estas diferencias. Estos días hemos vivido una serie de ataques informáticos que han sido tratados y expuestos en los medios de comunicación, en algunos con mayor atino que en otros. Estamos acostumbrados, al menos yo lo estoy, que cuando se tratan temas ciber en un ámbito no técnico se cometan errores en cuanto a la interpretación o capacidades de un ciberataque. En cierto modo es normal y entendible, no son periodistas especializados en el mundo de las nuevas tecnologías, tan pronto tienen que comentar la noticia de un asesino que anda suelto, como si en Murcia ha llovido más de lo normal o si han aprobado alguna ley estrambótica. Pero si considero que tienen que tratar de rodearse de profesionales de la ciberseguridad que los asesoren cuando tengan que explicar algún tema complejo o que desconozcan, algunos me constan que sí lo hacen, ya que de no ser así, se generará una situación de alarma social y preocupación totalmente innecesaria.
Fig. Playa Carolina en Murcia
El motivo de escribir este artículo es dar respuesta de la forma más adecuada y tranquilizadora posible a todos esos conocidos y seguidores en RRSS que me escribían preocupados por no saber qué hacer para evitar que les roben el Whatsappy les vacíen su cuenta bancaria. Todo ello a raíz de una noticia aparecida en algún medio de comunicación.
Aunque para los expertos en ciberseguridad esa noticia no tenía mucho sentido, en realidad si lo tiene, pero no de la forma que estamos pensando. No hace muchos años salían de vez en cuando noticias sobre ciberataques, cada una de ellas distinta a la anterior, no existía relación entre ellas, pero eso se terminó. Nos tenemos que acostumbrar, por mucho que me duela decirlo, que el cibercrimen está en aumento y cada día vamos a ir viendo ciberataques más elaborados, ciberataques que son similares entre sí y que se ejecutan al unísono, pero no por ello ejecutados por las mismas personas u organizaciones criminales. Pensad que las organizaciones criminales que se dedican al cibercrimen no tienen un calendario en común en el que van reservando fecha para realizar sus fechorías y que otras organizaciones no le «pisen» el día. La realidad es que distintas organizaciones pueden ejecutar un ciberataque de similares características en la misma fecha sin haberlo acordado previamente.
Fig. Calendario de ciberataques de un día cualquiera
Esto fue lo que ocurrió en esta ocasión, por una lado, tenemos una operación de Policía Nacional en la que se desmantela una organización criminal formado 19 cibercriminales que fueron detenidos, los cuales obtuvieron un botín de más de 450.000€ mediante transferencias bancarias fraudulentas realizadas con la técnica del SIM Swapping. Por otro lado, tenemos un aviso policial en el que se notifica el robo de cuentas de Whatsapp a través del SMS de verificación de la cuenta. Hechos totalmente independientes, pero que al parecer se ha creado cierta confusión al relacionarlos.
Fig. Operación Policía Nacional SIM Swapping
Así que una vez explicada la diferencia entre churras y merinas, o lo que es lo mismo, entre SIM Swapping o Secuestro de Whatsapp, os voy a explicar detalladamente en qué consiste cada uno de estos ciberataques y cómo podemos defendernos de ellos, ya que es realmente lo que importa: CONCIENCIAR a cuantas más personas mejor para que aprendan a protegerse de este tipo de delitos sin caer en el alarmismo.
Ataque número 1: SIM Swapping.
Este es un tipo de ciberataque viejo, pero que por desgracia hoy en día sigue funcionando, no tanto como años atrás, ya que muchas de las entidades bancarias ya no verifican las operaciones de transferencia mediante un SMS, aunque si lo siguen haciendo los operadores de tarjetas bancarias para confirmar ciertos cargos o pagos online.
No, en este artículo no os voy a hablar del “Ojo de Horus”, os voy a hablar de otro ojo que posiblemente tengáis mucho más cerca de lo que creéis, incluso en este mismo momento estéis leyendo este artículo gracias a ese “Ojo que todo lo ve”, un ojo que podéis encontrar en vuestra casa, en vuestra oficina o en la cafetería a la que vais a tomar café todos los días. Este ojo tampoco es una cámara IP, es algo mucho mas mundano. Este ojo es un simple router, si, ese dispositivo que todos tenemos en nuestros hogares y oficinas para poder conectarnos a Internet, ya sea a través de WiFi o de cable. Quizás os parezca otro cacharro más que podemos tener en casa, un cacharro que no merezca mas atención que la que le prestamos cuando se nos “cae” Internet o nos va lento.
En este artículo os voy a explicar todo el potencial que puede tener un simple router doméstico a nivel forense. Será un artículo extenso, ya que prefiero centralizar toda la información en un solo artículo, que en fraccionarlo en varias partes, de este modo será mas sencillo utilizarlo como artículo de referencia.
Fig. Router doméstico
Desde mi punto de vista, un router doméstico es uno de los elementos mas críticos que podemos tener en casa en cuanto a lo que ciberseguridad se refiere, pensad que para empezar es de los pocos dispositivos que podéis tener en vuestros hogares que están encendidos 24 horas al día, un dispositivo que tiene un sistema operativo y que es el que decide que conexiones de red se pueden establecer y cuales no, un dispositivo que está diseñado para ser administrado remotamente, y por si no fuera poco, un dispositivo que normalmente no esta adecuadamente actualizado y puede ser una puerta abierta de par en par a la red local de nuestra casa, es decir, una puerta abierta a nuestras SmartTV, nuestros PC, enchufes inteligentes, cámaras IP, smartphones… así como un sinfín de dispositivos que podemos tener conectados a Internet en nuestros domicilios, cuya única protección hacía el exterior es el router y su correspondiente firewall.
Fig. Seguridad en routers
Quizás ahora ya estáis viendo ese cacharro con luces que tenéis en vuestro salón con otros ojos, pero no se queda aquí la cosa, un router doméstico normalmente dispone de un punto de acceso WiFi para que podamos conectarnos a Internet desde nuestros teléfonos o ordenadores portátiles ¿y que ocurriría si alguien ataca nuestra red WiFi y se conecta a ella para cometer cualquier tipo de cibercrimen?¿estamos preparados para recoger todas los vestigios que el cibercriminal haya dejado en el router?. Y si una botnet toma el control de nuestro router para lanzar una campaña de DDoS contra una red concreta, ¿sabremos como detectarlo y extraer todas las evidencias?. De todo eso va este artículo, vamos a ver toda la información forense que se puede obtener de un simple router doméstico entregado por nuestra compañía telefónica.
Fig. Malware para routers “Ghost DNS”
Comenzamos por lo más sencillo, realizar un análisis desde el propio interfaz web del router, para esto tan solo tendremos que acceder a la página de administración avanzada. Normalmente la encontraremos en la dirección IP: 192.168.1.1:8000 o 192.168.1.1:8080. No hay que confundir este portal avanzado, con el portal de gestión básica, habitualmente el portal básico está diseñado por el propio operador telefónico, este nos permitirá configurar la contraseña de la WiFI, el nateo, quizás un filtrado por MAC y poco más. El portal básico no nos servirá para el análisis que pretendemos realizar. El acceso al portal “pro” del router suele estar en el puerto 8000 o 8080 y el básico en el 80.
En primer lugar vamos a ver que información podemos obtener a través del portal web del router, obviamente está será una información muy básica pero posiblemente en algunos casos nos será suficiente.
Fig. Router admin
En caso de tener una sospecha de que alguien nos pueda estar “pirateando” el WiFi, podemos acudir al menú “Lease DHCP” de nuestro router y ver un listado de todos los equipos que están conectados a la red WiFi, la ventaja de hacerlo así y no con aplicaciones móviles tipo Fing, es que podemos ver el tiempo de expiración (caducidad) de la IP. Básicamente el Lease DHCP es una tecnología que utiliza un router para repartir las direcciones IP disponibles a los distintos clientes de forma dinámica, normalmente esta dirección se la “alquila” (leasing) al cliente por 24 horas, si en 24 horas no se ha conectado se borrará de la lista y se podrá asignar esa misma IP a otro cliente / usuario (dispositivo). La ventaja de esto, es que no necesitamos que el pirata esté conectado al mismo tiempo que nosotros estamos analizando las conexiones, si se conectó en un plazo de 24 horas, quedará registrado en esta tabla, es más, podremos saber a que hora se conectó, ya que tan solo tendremos que restar la hora de expiración a la hora actual, como se puede ver en la siguiente foto.
Fig. Menú Lease DHCP Vodafone
Esta tecnológica es común para todo tipo de router domésticos, por ejemplo, en la fotografía superior lo podemos ver en router doméstico de la compañía Vodafone y en la siguiente fotografía, el mismo menú en un router también doméstico de Movistar, cambia el diseño pero la información es la misma. Con la dirección MAC y el nombre del dispositivo podremos identificar fácilmente a nuestro pirata.
Fig. Menú Lease DHCP Movistar
Hoy en día es común que nuestros routers domésticos puedan ser telegestionados en remoto por la propia compañía telefónica, esto nos puede ser útil para que nos lo actualicen, configuren o reparen de forma remota, sin necesidad de que un técnico acuda a nuestro hogar. Normalmente la compañía telefónica no utiliza VPNs o similar para conectarse de forma remota y segura a nuestro router, básicamente de forma previa han grabado sus IP públicas en el Firewall de nuestro router para que solo desde estas IP se puedan conectar de forma remota al router y configurarlo. Aquí nos podemos encontrar con dos problemas:
El primero es que alguien tome el control de alguna de esas IP por una cesión de rango, o incluso que por un fallo de routeo estas IPs puedan pertenecer al resto de clientes del mismo proveedor, es decir, cualquier cliente del ISP (operador telefónico) podría llegar a tomar el control remoto de nuestro router, con todo lo que esto implica, esto ocurre si la compañía ha grabado la misma dirección IP o rango de telegestión que las direcciones IP públicas que se le asignan al resto de clientes.
Por otra parte, en caso de que el operador telefónico sea comprometido, a través de su red podemos recibir un ataque contra nuestra red local (doméstica), al tener una puerta abierta a todo lo que llegue desde la red del operador (no de Internet), por ejemplo, un ataque del tipo ransonware contra algún servicio que tengamos levantando en nuestra red, como un SAMBA. Con esto no quiero decir que tener habilitada la telegestión del router es algo malo o inseguro, simplemente es conveniente tener en cuenta las implicaciones que tiene, por supuesto, en caso de avería nos resultará mucho mas fácil que la compañía se conecte al router y nos lo repare. Así es como se vería este menú con las diferentes direcciones IP grabadas, en caso de ver una dirección IP o rango, perteneciente a un país con tundra, igual nos deberíamos preocupar un poco y pensar que alguien nos ha modificado las “trusted ip” de nuestro router, ya que con una IP maliciosa en esta configuración, el cibercriminal podrá acceder a nuestra red local sin ningún problema, ya que tiene una puerta abierta a nuestra LAN a través del router.
Fig. Menú Trusted Network
Dejando ya a un lado el menú web de nuestro router doméstico, ahora vamos a subir un poco el nivel y vamos a entrar al corazón del dispositivo. Para ello necesitaremos conectarnos vía SSH a nuestro enrutador, normalmente no nos tendremos que complicar mucho, ya que no suelen estar los puertos cambiados, con un SSH al 22 y a la IP local del router será suficiente.
Fig. Acceso via SSH al router
Si por lo que sea no logramos establecer la conexión, siempre podemos analizar el router con la herramienta Nmap para ver que servicios tiene levantados y en que puertos están, en el caso de la siguiente fotografía está todo en su sitio. Si es la primera vez que escaneáis un router y veis tantos puertos abiertos, no os preocupéis, es normal.
