Un error de hace diez años que sigue afectando a los routers actuales

Los dispositivos de Wi-Fi son vulnerables ante los hackers, pero una vez vendidos es prácticamente imposible actualizarlos con un parche para subsanar los errores.

A finales del año 2014, la empresa Allegro Software Development recibían un correo electrónico en el que un investigador de seguridad informática les advertía de que un fallo en uno de sus programas ponía en riesgo de ser hackeados millones de usuarios de todas las partes del mundo. Alarmados, los ingenieros de la compañía se pusieron a investigar el error mencionado, que permitía el acceso a los controles de los routers de los hogares. su sorpresa llegó cuando descubrieron que ese error ya lo había detectado y corregido… ¡Hace diez años!

La razón por la cual este error seguía presente incluso en los routers recién comercializados es porque un fabricante de componentes había incluido la versión del 2002 del software de Allegro para su fabricación en cadena, por lo que se desarrollaron 10 millones de dispositivos sin saber que había una versión posterior del software que incorporaba un parche que solucionaba el error.

De esta forma, el error del router pone de relieve un problema persistente de seguridad en relación con el control de los bugs. Desarrollar el parche que arregle el problema es sencillo, lo difícil es que éste llegue a las personas que lo requieren, donde no se sabe qué routers son los afectados sin conocer específicamente lo que se busca. Sin embargo, los hackers saben explotar cualquier debilidad.

Otro inconveniente es que desde Allegro aseveran que no pueden aplicar el parche, porque no tienen acceso a los dispositivos afectados. Así pues, tan sólo les queda instar a los fabricantes que utilicen sólo la última versión de su software, pero lamentablemente «no podemos obligarles», dice resignado Shade Loren, vicepresidente de marketing, a The Wall Street Journal.

Para verificar esta información, The Wall Street Journal encargó a un investigador de seguridad, Tod Beardsley de la empresa de seguridad Rapid7, que probase 20 routers populares, comprados durante el segundo semestre del año 2015. Para su sorpresa, diez de ellos contenían firmware anticuado que no albergaba las actualizaciones posteriores, habilitando una gran brecha en la seguridad informática del dispositivo.

Por todo ello, son los usuarios los que están sufriendo las consecuencias de que muchos fabricantes de routers no comprueben la seguridad de sus productos, según detalla Shahar Tal, un investigador que trabajó en Check Point Software Technologies, y que ayudó a encontrar el error de Allegro, apodado «La desgracia Cookie», debido a que permite a los piratas informáticos poder atacar el router utilizando cookies web maliciosos.

Desgraciadamente, los routers de los hogares son los más vulnerables, ya que los fabricantes compiten en una guerra de precios en la que recortan los costes para ganar contratos con proveedores de Internet. Una vez el router se ha vendido, el fabricante no tiene interés en actualizar el dispositivo para mejorar su seguridad. Así pues, los routers pueden estar usándose durante años, incluso después de que los fabricantes den por obsoleto ese modelo y ya no preparen más actualizaciones.