Programa de agradecimientosPrograma de agradecimientos

hackearon mi router

raphraph Stormtrooper - Nivel 1Publicaciones: 8Miembros
Desde hoy pasa algo raro con mi router Movistar/Speedy.

Este domingo apareció un nuevo red inalámbrico nombrado con SSID "evil" ("infierno" en inglés).
Este red desaparece cuando apago mi propio router y vuelve a aparecer cuando lo enciendo y tiene una MAC muy similar.
Mi propio RED wifi (Speedy-XXXXX) sigue funcionando.

El channel de "evil" cambia y se pone al igual de channel de red normal "Speedy-XXXXX".
Básicamente, es un RED inalámbrico trucho que surge de mi propio router Speedy y no aparece en la configuración avanzada.

Tengo un mitrastar DSL-2401HN-T1C.

Soporte técnico?

Mejor respuesta

  • DFADFA Stargate - Nivel 2Publicaciones: 1,489Miembros, SuperUsuario
    Respuesta ✓
    DFA dijo:
    raph dijo:
    Si, apague la funcionalidad inalámbrica (pero sigo usando el ethernet) y me aseguré que ningún de mis device se conecta.
    Este red "evil" esta en WPA/PSK, por lo cual no creo que mis vecinos se conectaron tampoco.
    En un rato posteo todo lo que debes hacer , que no es poco . Apaga el router - no te conectes ni siquiera por cable . 
    Estimado @raph , no te ha tocado una fácil . Menudo trabajo de control vas a tener pero es necesario para proteger tus datos , identidad y dispositivos .
    Sabrás disculpar la extensión del mensaje pero trate de ser lo mas claro y didáctico posible . 

    Evil es un ataque a la red wifi que fue creado hace 20 años . De no ser una variante sinceramente me cuesta creer como pudiste ser infectado dado que los nuevos equipos (ultimo años ya no adolecen de la vulnerabilidad) , por otro lado en general se presentaban en redes unicas con 802.11b .  
    Se crea un punto de acceso Wi-Fi fraudulento que parece ser legítimo pero está configurado para espiar las comunicaciones inalámbricas. 
    Es el equivalente al Phising en los correos electrónicos

    Este tipo de ataque puede usarse para robar las contraseñas de usuarios desprevenidos, ya sea mediante el monitoreo de sus conexiones o mediante phishing, lo que implica establecer un sitio web fraudulento y rastrear todo el tráfico circulando por dicha red . 

    Ahora vamos a lo que puedes realizar al respecto , primero unas preguntas para saber cómo pudo haber ingresado . 
    1 - Tienes un SSID muy elemental? no lo postees por favor 
    2 - Está habilitado WPA2 para la password del router? La password por supuesto es una compleja y no alguna vieja conocida como 1234 o admin . Correcto? No postees la clave solo responde 
    3 - Conectaste algun dispositivo al router via WPS?
    4 - Cual fue el ultimo dispositivo conectado al router antes que apareciera el SSID "evil"   

    Básico para desasnarme por donde pudo haber ingresado . 

    Ahora que deberías hacer :

    1 - Desenchufar urgente el router de la red (ya sea wireless como cableado) - Asumo que ya lo hiciste 
    2 - Debemos ver si ninguno de los dispositivos conectados a la red wifi fueron o pudieron haber sido ofensores en la creación de dicho SSID 
    2.1 - Toma tu smartphone y descarga el wifi analyzer .(Play Store Android) LINK
    2.2 - Use la lectura de señal fuerte del analizador wifi para identificar desde dónde se está transmitiendo (si es que es localizable) el "evil ssid" en tu derredor y trata de localizar el dispositivo .  
    A veces ocurre el "SSID duplicado" se está transmitiendo desde un dispositivo local, que puede ser localizable. Incluso si no puede acceder a donde está el dispositivo. 
    Si no encuentras nada con "evil ssid" continua con el resto de los pasos 
    3 - Desde otra red por favor cambia urgente las passwords de los sitios críticos donde puedes haber ingresado desde la aparición del SSID "evil" 
    Ej . Sitios de tarjetas de crédito , bancarios , información de redes sociales , email , cuentas críticas en  todos los sitios que tu manejas habitualmente , etc.
    4 - A todos los dispositivos que estuvieron conectados por cable o por WiFi correr el antivirus correspondiente para eliminar cualquier malware que pudiera quedar . Ya sea Windows / IOS / Android . 
    Escanea todos los dispositivos antes de proceder con el paso 5  
    5 - Enchufa el router a la red electrica y dar Factory Reset y programarlo nuevamente con la cuenta de speedy correspondiente - Si puedes cambia la password posteriormente de la misma llamando al ST  
    5.1 - No habilites la red wireless
    5.2 - Cambia la password del router de la configuración avanzada
    5.3 - Cambia el SSID por defecto asignado
    5.4 - Cambia la password de la red wireless 
    5.5 - Asegurate que la seguridad de la red SSID nueva es WPA2 
    5.6 - Habilita la red Wireless sin ningún dispositivo que pueda conectarse para verificar status  
    5.7 - verifica que el "ssid evil" no aparece mas .
    5.8 - Hasta estar seguro que el tema no aparece mas estaría utilizando el control por mac address para autorizar la conectividad de dispositivos a mi red wifi 
    5.9 - Deshabilitar la red Guest en caso que exista o hubiera existido 

    Si todo anduviera bien , como fervientemente espero , ya puedes continuar utilizando tu red y conectar los dispositivos cableados e inalámbricos . (de a uno por vez verificando siempre que no aparezca el SSID EVIL) . 
    Ten paciencia y no te apures y haz todo con cuidado y minuciosamente . (Las preguntas son únicamente para alimentar mi intelecto no es necesario que las respondas , dedicate a solucionar el tema) 
    Anota cualquier dificultad que aparezca y nos dices a ver si podemos colaborar en algo mas . 

    Suerte con eso y nos avisas por favor .   


       NO OLVIDEN COMPLETAR LA ENCUESTA PARA MEJORAR LA EXPERIENCIA EN EL FORO 

    SI TE SIRVIÓ LA AYUDA MARCALA, SOLUCION ACEPTADA, YA QUE AYUDARÁ A OTROS USUARIOS CON LA MISMA CONSULTA. GRACIAS

Respuestas

  • mcrisevermcrisever Alien - Nivel 7Publicaciones: 54,263Miembros, SuperUsuario
    Quizas @DFA te pueda orientar .
    Sino ST en redes



    NO OLVIDEN COMPLETAR LA ENCUESTA PARA MEJORAR LA EXPERIENCIA EN EL FORO 


    SI TE SIRVIÓ LA AYUDA MARCALA, SOLUCION ACEPTADA, YA QUE AYUDARÁ A OTROS USUARIOS CON LA MISMA CONSULTA. GRACIAS

    EL FORO NO ES CANAL DE ATENCION, AQUI TODOS SOMOS CLIENTES AYUDANDO!



  • DFADFA Stargate - Nivel 2Publicaciones: 1,489Miembros, SuperUsuario
    editado 5 de January 2020
    Hola @raph , desconozco que tienes conectado a dicho modem pero por favor apágalo inmediatamente y por supuesto realizar forget del SSID en todos los devices que se pudieren haber conectado , no solo a tu SSID sino también am mellizo "evil"  .
    En unos minutos posteo mas detalles al respecto. 

       NO OLVIDEN COMPLETAR LA ENCUESTA PARA MEJORAR LA EXPERIENCIA EN EL FORO 

    SI TE SIRVIÓ LA AYUDA MARCALA, SOLUCION ACEPTADA, YA QUE AYUDARÁ A OTROS USUARIOS CON LA MISMA CONSULTA. GRACIAS
  • raphraph Stormtrooper - Nivel 1Publicaciones: 8Miembros
    editado 5 de January 2020
    Si, apague la funcionalidad inalámbrica (pero sigo usando el ethernet) y me aseguré que ningún de mis device se conecta.
    Este red "evil" esta en WPA/PSK, por lo cual no creo que mis vecinos se conectaron tampoco.
  • DFADFA Stargate - Nivel 2Publicaciones: 1,489Miembros, SuperUsuario
    editado 5 de January 2020
    raph dijo:
    Si, apague la funcionalidad inalámbrica (pero sigo usando el ethernet) y me aseguré que ningún de mis device se conecta.
    Este red "evil" esta en WPA/PSK, por lo cual no creo que mis vecinos se conectaron tampoco.
    En un rato posteo todo lo que debes hacer , que no es poco . Apaga el router - no te conectes ni siquiera por cable . 

       NO OLVIDEN COMPLETAR LA ENCUESTA PARA MEJORAR LA EXPERIENCIA EN EL FORO 

    SI TE SIRVIÓ LA AYUDA MARCALA, SOLUCION ACEPTADA, YA QUE AYUDARÁ A OTROS USUARIOS CON LA MISMA CONSULTA. GRACIAS
  • raphraph Stormtrooper - Nivel 1Publicaciones: 8Miembros
    1 - Tienes un SSID muy elemental? no lo postees por favor 
    No. My SSID era "escondido". Cuando apareció "evil", lo cambie por otro y lo puse "visible". Pero "evil" seguía presente (y cambiando de channel). Claramente, "evil" proveía del router mismo.

    2 - Está habilitado WPA2 para la password del router? La password por supuesto es una compleja y no alguna vieja conocida como 1234 o admin . Correcto? No postees la clave solo responde 
    WPA2. Contraseña por defecto atribuida por Speedy (~ 10 letras & números)

    3 - Conectaste algun dispositivo al router via WPS?
    No
    4 - Cual fue el ultimo dispositivo conectado al router antes que apareciera el SSID "evil"  
    Ninguno (hace semanas). El router empezó este "evil" este domingo a la mañana y no hubo nada especial con el router/Movistar durante la semana.


    NB: Antes de leer su mensaje hice un "reset" del router y "evil" se fue (por ahora). La única información adicional que puedo agregar sobre este "malware" es que la dirección MAC que usaba era la segunda que posee el router wifi. (Empieza con E2:41:36 en lugar de E0:41:36)
    Es un poco preocupante que alguien "entre a una casa" via el router de Movistar. Desapareció este RED trucho, pero lamento que con el reset se haya ido la única forma de encontrar su origen.


    Ahora tengo un problema nuevo. Después el reset no puedo más acceder a la "configuración avanzada" para abrir algunos puertos (NAT) : La combinación admin/1234 no funciona más.

    @DFA: Lo agradezco muchísimo por haber respondido con tantas precisiones!


  • DFADFA Stargate - Nivel 2Publicaciones: 1,489Miembros, SuperUsuario
    raph dijo:
    1 - Tienes un SSID muy elemental? no lo postees por favor 
    No. My SSID era "escondido". Cuando apareció "evil", lo cambie por otro y lo puse "visible". Pero "evil" seguía presente (y cambiando de channel). Claramente, "evil" proveía del router mismo.

    2 - Está habilitado WPA2 para la password del router? La password por supuesto es una compleja y no alguna vieja conocida como 1234 o admin . Correcto? No postees la clave solo responde 
    WPA2. Contraseña por defecto atribuida por Speedy (~ 10 letras & números)

    3 - Conectaste algun dispositivo al router via WPS?
    No
    4 - Cual fue el ultimo dispositivo conectado al router antes que apareciera el SSID "evil"  
    Ninguno (hace semanas). El router empezó este "evil" este domingo a la mañana y no hubo nada especial con el router/Movistar durante la semana.


    NB: Antes de leer su mensaje hice un "reset" del router y "evil" se fue (por ahora). La única información adicional que puedo agregar sobre este "malware" es que la dirección MAC que usaba era la segunda que posee el router wifi. (Empieza con E2:41:36 en lugar de E0:41:36)
    Es un poco preocupante que alguien "entre a una casa" via el router de Movistar. Desapareció este RED trucho, pero lamento que con el reset se haya ido la única forma de encontrar su origen.


    Ahora tengo un problema nuevo. Después el reset no puedo más acceder a la "configuración avanzada" para abrir algunos puertos (NAT) : La combinación admin/1234 no funciona más.

    @DFA: Lo agradezco muchísimo por haber respondido con tantas precisiones!


    Gracias por postear . La password cambia porque se maneja centralmente con los servers de Movistar - Postea en Twitter y pidela nuevamente . (cambia con cada factory reset) . 
    Suerte con eso /   

       NO OLVIDEN COMPLETAR LA ENCUESTA PARA MEJORAR LA EXPERIENCIA EN EL FORO 

    SI TE SIRVIÓ LA AYUDA MARCALA, SOLUCION ACEPTADA, YA QUE AYUDARÁ A OTROS USUARIOS CON LA MISMA CONSULTA. GRACIAS
  • raphraph Stormtrooper - Nivel 1Publicaciones: 8Miembros
    Pero no tengo Twitter :|
  • DFADFA Stargate - Nivel 2Publicaciones: 1,489Miembros, SuperUsuario
    raph dijo:
    Pero no tengo Twitter :|
    Ver los postings de @mcrisever - Facebook? 

       NO OLVIDEN COMPLETAR LA ENCUESTA PARA MEJORAR LA EXPERIENCIA EN EL FORO 

    SI TE SIRVIÓ LA AYUDA MARCALA, SOLUCION ACEPTADA, YA QUE AYUDARÁ A OTROS USUARIOS CON LA MISMA CONSULTA. GRACIAS
  • raphraph Stormtrooper - Nivel 1Publicaciones: 8Miembros
    Me volvieron a pasar la contraseña por teléfono (T28....) y me dijeron que dejaban una nota de constancia sobre el problema, por la duda.

  • DFADFA Stargate - Nivel 2Publicaciones: 1,489Miembros, SuperUsuario
    Que verifiquen si tienes el último firmware instalado por las dudas . Quizás ya lo hicieron. Pero asegúrate . 

       NO OLVIDEN COMPLETAR LA ENCUESTA PARA MEJORAR LA EXPERIENCIA EN EL FORO 

    SI TE SIRVIÓ LA AYUDA MARCALA, SOLUCION ACEPTADA, YA QUE AYUDARÁ A OTROS USUARIOS CON LA MISMA CONSULTA. GRACIAS
Este hilo ha sido cerrado.