Módem saboteado

Hace unas semanas, descubrí que el módem de uno de mis clientes había sido alterado para intentar vaciarle sus cuentas de BBVA-Bancomer. Lo bueno es que él no tiene cuentas en ese banco.

Algo huele mal

Lo descubrí por accidente, mientras investigaba un problema con su módem de Telmex. Al revisar sus computadoras, me llamó la atención que todas tenían establecido un dominio para las búsquedas DNS:

Así se ve en OSX. En Windows aparece como "sufijo DNS específico para la conexión".

Hmmmm, el nombre de un banco… esto huele mal. Las computadoras obtenían este parámetro de parte del módem y no parecía venir de Telmex. Así que me puse a investigar.

Dentro del módem

La interfaz web de estos módems es un pequeño laberinto (¿por qué la configuración de DNS está en la sección Diagnósticos?), pero finalmente encontré lo que buscaba:

Esto no es suficiente para sabotear el portal del banco. Pero, en la pestaña Tabla de nombres, se completaba la fechoría:

Granjeros de cuentas de banco

Es obvio que un hacker se metió¹ al módem y añadió estos ajustes. El propósito de estas alteraciones es posibilitar un ciberataque conocido como pharming, que consiste en hacer que el navegador abra un sitio apócrifo cuando se visita el URL correcto de un sitio. Hay varias formas de montar un ataque de pharming, así que voy a limitarme a describir cómo funcionaba éste en particular.

Normalmente, cuando tecleamos "www.bancomer.com" en la barra de direcciones del navegador (o bien, damos click a un hipervínculo a "http://www.bancomer.com"), la computadora necesita consultar la dirección numérica del servidor llamado "www.bancomer.com". En la mayoría de las redes domésticas, las computadoras están configuradas para preguntarle al módem, que a su vez consulta un servidor DNS operado por Telmex (que probablemente consulte otro servidor DNS, y así, hasta obtener la respuesta). Cuando la computadora recibe del módem la dirección numérica de "www.bancomer.com", se la pasa al navegador, que "abre" esta dirección numérica.

Cuando el módem ha sido hackeado como en las imágenes de arriba, el módem cree que sabe "de memoria" la dirección del servidor de nombre de pila "www" y apellido "bancomer.com" y que no necesita consultarla con el servidor DNS. En esa dirección, los hackers operan un sitio falso con un gran parecido visual al de Bancomer²:

Sitio apócrifo (para phishing). Nótese que la barra de direcciones dice "www.bancomer.com".

Actualmente el formulario de acceso ha dejado de funcionar, pero presumo que simulaba un ingreso exitoso y luego intentaba engañar a la víctima para que, sin saberlo, autorizara una transacción real, probablemente una transferencia a otro banco o la compra de tiempo aire de celular.³

Notas

1. Tengo mi hipótesis de cómo se metieron los vándalos. En 2013-2014, Telmex distribuía este modelo de módem con una puerta trasera accesible desde toda la Internet. Los hackers la descubrieron y comenzaron a controlar los módems de otras personas. En algún punto de 2014, Telmex se dioc uenta y reconfiguró todos los módems remotamente, cerrando la puerta, pero algunas de las alteraciones que hicieron los hackers no fueron revertidas. Para más información de la puerta trasera, leer este post en el blog de Hackim. 
2. Sólo los clientes de DSL (Infinitum) de Telmex pueden ver el sitio apócrifo. Los demás ven un sitio genérico "en construcción".
3. Para ver un ejemplo de cómo un sitio de phishing intenta conseguir que su víctima autorice una transacción con el dispositivo de Acceso Seguro Digital Bancomer, ver este video en Youtube.

Más información

• Pharming en Wikipedia.
• Información sobre Pharming en el sitio de Bancomer. Está bastante incompleta pues únicamente toca una variante que consiste en sabotear una computadora en particular, lo cual es más fácil de prevenir y de detectar.
• Información más completa sobre Pharming en el sitio de Trusteer.