Los 127 routers analizados estaban afectados por una media de 53 vulnerabilidades clasificadas como críticas. De los dispositivos, hubo uno que contenía hasta 21 CVE. Un total de 46 routers no recibió ninguna actualización de seguridad en el último año.
Un estudio reciente realizado a más de un centenar routers domésticos de siete marcas conocidas, en su mayoría grandes proveedores, descubrió que casi todos los dispositivos analizados estaban afectados por decenas de fallos de seguridad sin parchear y muchos de estos fallos son críticos, dejando a los dispositivos y a sus usuarios en riesgo de sufrir ciberataques.
«No hay un solo dispositivo que no contenga vulnerabilidades críticas», apunta el estudio Home Router Security Report 2020, realizado por el Fraunhofer Institute for Communication, Information Processing and Ergonomics (FKIE) de Alemania, que examinó un total de 127 modelos de routers de ASUS, AVM, D-Link, Linksys, Netgear, TP-Link y Zyxel.
“Muchos routers se ven afectados por cientos de vulnerabilidades conocidas. Incluso si los routers obtuvieron actualizaciones recientes, muchas de estas vulnerabilidades no fueron reparadas. Lo que empeora aún más las cosas es que las técnicas de mitigación de exploits rara vez se usan», señalan los investigadores, quienes calcularon que el tiempo medio que transcurre desde la última actualización asciende a 378 días. Un total de 46 routers no recibió ninguna actualización de seguridad en el último año.
Se encontró que los routers se veían afectados por una media de 53 vulnerabilidades clasificadas como críticas; incluso el dispositivo que quedó en primer lugar se vio afectado por 21 CVE. «Algunos routers tienen contraseñas fáciles de descifrar o incluso conocidas que el usuario no puede cambiar», se lee en el estudio. Concretamente, 50 routers venían con credenciales de administrador codificadas, incluidos 16 con detalles de inicio de sesión conocidos o fáciles de adivinar.
Como era de esperar, el 90% de los dispositivos ejecutaban Linux, pero a menudo una de las versiones antiguas del sistema operativo. Más de un tercio de los routers todavía funcionaba con la versión 2.6.36 del kernel de Linux, que recibió su última actualización en 2011.