Las contraseñas Wi-Fi de los routers de TalkTalk han sido robadas tras un ataque que bloqueó su acceso a Internet. Un investigador dijo que también se han considerado otros detalles que permitirían a los atacantes identificar dónde se estaban utilizando los equipos, logrando ataques más específicos.

Ken Munro de Pen Test Partners quiere que miles de routers sean reemplazados. Pero un portavoz de TalkTalk dijo que no había pruebas del robo de credenciales.

"Como se sabe ampliamente, Mirai está afectando a muchos ISP [proveedores de servicios de Internet] en todo el mundo y ha afectado a un pequeño número de clientes de TalkTalk".

"Seguimos tomando medidas para revisar cualquier impacto potencial y hemos implementado una variedad de soluciones para asegurar que los routers de los clientes permanezcan seguros.

"También hemos empleado controles adicionales a nivel de red para proteger aún más a nuestros clientes".

TalkTalk había aconsejado a los usuarios que restablecieran su router pero no habían dicho que cambiaran su contraseña

La BBC reveló que los routers D-Link DSL-3780 de TalkTalk habían sido infectados por un malware causando problemas de conectividad para los usuarios de ese modelo.

Posteriormente, la empresa publicó consejos en línea para indicar a los usuarios afectados que restablecieran el equipo, lo que obligó a instalar una actualización para protegerse contra el ataque y luego "usar el nombre de la red inalámbrica y la contraseña en la parte posterior del router" para volver a conectarse.

El investigador de seguridad Munro obtuvo uno de los routers afectados para estudiar el ataque.

Dijo que su router "honeypot" fue alcanzado por la variante de Mirai, que ahora se conoce como TR-06FAIL.

Pero el Sr. Munro detectó que el ataque del mismo malware hizo que el dispositivo revelara su contraseña Wi-Fi y el SSID (Service Set Identifier).

Un SSID se puede utilizar para revelar dónde se encuentra una máquina a través de herramientas en línea como Wigle.

También mencionó que incluso después de haber reiniciado los routers siguen en riesgo porque siguen utilizando la misma contraseña que antes.

"La mayoría de los consumidores nunca cambian las contraseñas, por lo que la corrección realmente no solucionó el problema", explicó Munro.

"Una vez que un atacante tiene la clave Wi-Fi, si se acercan a la casa puede obtener casi todo desde su red doméstica."

"TalkTalk debería considerar seriamente la posibilidad de reemplazar los enrutadores de los clientes inmediatamente a menos que pueda demostrar que no han sido comprometidos."

Las comunicaciones cifradas, como los registros bancarios en línea, no estarían en peligro. Pero en los correos electrónicos sería posible colocar malware en computadoras vinculadas a una red expuesta.

Munro estimó que el retiro implicaría por lo menos 55 mil equipos.