Hay un peligro oculto en los routers de segunda mano: cómo los secretos de las empresas acaban a la venta por menos de 100 euros

En los entornos corporativos, sustituir un router obsoleto por un modelo más moderno es una tarea de mantenimiento que puede parecer rutinaria. Sin embargo, el destino del equipo desechado debería preocupar tanto o más que la instalación del nuevo: cuando un dispositivo de red abandona las instalaciones de una empresa, a menudo termina en el mercado de segunda mano. Y si no se ha realizado un borrado de datos exhaustivo, se convierte en un caballo de Troya repleto de información confidencial.

Esta fue la alarmante conclusión a la que llegó el equipo de ESET Research tras publicar su informe técnico sobre el mercado de dispositivos de red usados. Lo que comenzó como una simple compra de equipos de segunda mano para montar un laboratorio de pruebas de ciberseguridad, destapó una negligencia en la industria: los equipos se están vendiendo con las "llaves" de las empresas en su interior.

Un tesoro de datos

En entornos empresariales, es muy común reemplazar un router cuando deja de funcionar por uno nuevo, pero al desechar el antiguo, es importante conocer qué destino le espera. Según el medio especializado en seguridad informática, el equipo de ESET adquirió algunos routers usados para crear un entorno de pruebas. Todo fue bien hasta que saltó la sorpresa.

Una vez los instalaron, pudieron comprobar de primera mano como la configuración previa del anterior propietario no se había borrado. Podría pasar desapercibida, pero los datos almacenados en estos routers podrían utilizarse para identificar a los usuarios junto a los detalles de su conexión de red.

Este hallazgo les empujó a comprar más dispositivos usados para comprobar si sucedía con más modelos. Hasta 18 routers adquirieron, de los cuales uno no funcionaba y otro formaba parte de un par en espejo. Pues bien, de los 16 restantes, el 56% (nueve routers) aún contenían detalles de configuración y datos del usuario. Con esta información, un hacker con malas intenciones podría lanzar un ciberataque.

Lo que albergaban en su interior era un auténtico desastre de privacidad y seguridad: la totalidad de los routers expuestos contenían datos suficientes para identificar de forma fiable a la empresa operadora anterior , así como credenciales IPsec, VPN o contraseñas de administrador (root) en formato hash. 

Además, el 89% de ellos detallaba conexiones de aplicaciones y claves de autenticación entre routers. En algunos casos, incluso se hallaron datos directos de clientes (22%) o información que permitía conexiones a redes de terceros (33%).

Entre las víctimas de estas fugas de datos se encontraban perfiles de todo tipo: desde un bufete de abogados a nivel nacional en EEUU, hasta empresas de telecomunicaciones, agencias creativas y un importante desarrollador de software de Silicon Valley. Ahí es casi nada.

Hardware barato, alto coste. A las empresas no les importó

Como veníamos comentando, en las manos equivocadas, esta información es un vector de ataque. Según datos de la firma KELA Cybercrime Prevention recogidos por WeLiveSecurity, el precio medio en la Dark Web por unas credenciales de acceso inicial a una red corporativa ronda los 2.800 dólares. Esto implica que un hacker podría comprar un router usado por apenas unas decenas de euros y obtener un enorme retorno de inversión simplemente extrayendo los datos y vendiéndolo al mejor postor.

¿Cómo es posible que grandes corporaciones cometan este error? El estudio señala a un claro culpable en la cadena de suministro: la confianza ciega en terceros. Muchos de los propietarios de estos dispositivos habían contratado a empresas de reciclaje de basura electrónica (e-waste) o de destrucción segura de datos. Evidentemente, el proceso de borrado no se llevó a cabo o no se auditó como debería.

Aún más preocupante fue la actitud de dichas empresas cuando los investigadores intentaron notificarles de la brecha de seguridad. Lejos de agradecer el aviso, muchas compañías fueron difíciles de contactar o simplemente no respondieron a las advertencias.

La lección que deja este hallazgo es clara, no solo para grandes corporaciones, sino también para usuarios: cualquier dispositivo de red que abandone nuestras manos debe ser sometido a un restablecimiento de fábrica. Confiar en que otro lo hará por nosotros es abrir la puerta de par en par a datos muy valiosos.

Imagen de portada | Xataka Móvil con Gemini

En Xataka Móvil | Crees que comprar un router WiFi 7 es dar el salto definitivo, hasta que descubres que algunos pierden más de la mitad de velocidad