El código, publicado durante el pasado fin de semana por los investigadores Adrian Pastor y Petko Petkov aprovecha características de dos tecnologías: el protocolo Universal Plug and Play (UPnP), que utilizan muchos sistemas operativos para facilitar el trabajo con algunos dispositivos de red; y el reproductor multimedia Flash de Adobe.
Engañando a la victima para que vea un archivo Flash malicioso, un atacante podría usar UPnP para cambiar el servidor DNS primario utilizado por el router para encontrar otros ordenadores en Internet. Esto daría al atacante un camino indetectable para redirigir a la victima a sitios web falsos. Por ejemplo, una victima con un router comprometido podría ser dirigida al servidor web del atacante cuando escribiera la dirección de la web de su banco, aunque la tecleara directamente en la barra del navegador.
"La mas maliciosa de todas las cosas maliciosas es cambiar el DNS principal" escribieron los investigadores. "Esto puede convertir eficazmente al router y la red que este controla en un zombi que el atacante puede aprovechar cuando le apetezca"
Como muchos routers soportan UPnP, los investigadores creen que "el 99% de los routers domésticos son vulnerables a este ataque"
De hecho, muchos otros tipos de dispositivos UPnP, como impresoras, sistemas digitales de entretenimiento, y cámaras, también están potencialmente en riesgo, añaden en su página de preguntas frecuentes.
El ataque es particularmente preocupante porque es independiente de la plataforma (cualquier sistema operativo que soporte Flash es susceptible de ser atacado), y porque está basado en características de UPnP y Flash, no en errores que puedan ser fácilmente corregidos por Adobe o los fabricantes de routers.
Los usuarios pueden evitar este ataque desactivando UPnP en sus routers, pues normalmente viene activado por defecto, pero esto puede hacer que varias aplicaciones populares, como software de mensajería instantánea, juegos o Skype, dejen de funcionar y necesiten configurar manualmente el router.
Adobe podría hacer cambios en Flash para mitigar el problema, pero los atacantes probablemente también podrían lanzar este ataque con otra técnica conocida como DNS pinning, dice Aviv Raff, un investigador que también ha escrito sobre el ataque.
"Hay una cosa fundamental" respondió durante una entrevista, "la gente debe desactivar UPnP en sus dispositivos, y los fabricantes deben dejarlo desactivado por defecto en todos los dispositivos que vendan".
Aunque esto podría complicar la vida a los usuarios menos técnicos, Raff cree que el esfuerzo vale la pena. "Es mejor que mantengas tu trafico lejos de manos malintencionadas" dijo.
Sin embargo, otros expertos en seguridad dicen que desactivar UPnP sería excesivo, teniendo en cuenta que los ciberdelincuentes ni siquiera han empezado a utilizar esta técnica de ataque. "Mira... si te cae encima un meteorito es devastador" dijo Roger Thompson, jefe de investigación de Grisoft, "pero no se construyen todos los edificios a prueba de meteoritos."
