Asus acusada de vender routers con fallos críticos de seguridad

El fabricante de equipos informáticos con sede en Taiwán, Asustek Computer (Asus), ha reconocido que sus routers y servicios en la nube cuentan con fallos de seguridad críticos que ponen en riesgo las redes domésticas y equipos de cientos de miles de usuarios. Tal información sale a la luz tras la denuncia de la Comisión Federal de Comercio, la cual también acusa a la compañía de que sus servicios en la nube han llevado al compromiso de la información de miles de usuarios, información personal confidencial en Internet expuesta a personas ajenas. La denuncia busca que Asus restablezca y ejerza un programa de seguridad integral sujeto a auditorias independientes durante los próximos 20 años.

"Internet está creciendo a pasos agigantados, con millones de consumidores que conectan dispositivos inteligentes en sus redes domésticas," dijo Jessica Rich, Director de la Oficina de Protección al Consumidor de la FTC. "Los routers juegan un papel clave en la obtención de esas redes en el hogar, por lo que es fundamental que las empresas como Asus hagan uso de métodos de seguridad razonables para proteger a los consumidores y su información personal."

Asus RT-AC5300U

Asus comercializa sus routers alegando que incluye numerosas características de seguridad con el reclamo de "proteger los ordenadores de cualquier acceso no autorizado, la piratería y los ataques de virus" y "proteger la red local contra los ataques de los piratas informáticos." A pesar de estas afirmaciones, la queja de la CFC alega que Asus no adoptó medidas razonables para asegurar el software en sus routers.

Por ejemplo, según la denuncia, los hackers podrían explotar los errores de seguridad que abundan en el panel de control basado en web del router para cambiar cualquiera de los ajustes de seguridad del router sin el conocimiento del consumidor. Un investigador de malware dejó al descubierto una campaña en abril del 2015 donde usa estas vulnerabilidades para volver a configurar los routers vulnerables y dirigir el tráfico de Internet de los consumidores. La queja también pone de relieve una serie de otros defectos de diseño que exacerbaron estas vulnerabilidades, incluyendo el hecho de que la empresa creaba - y permitió que los consumidores conserven - las mismas credenciales de acceso por defecto en todos los routers: nombre de usuario y la contraseña "admin" "admin".Asus RT-AC87U

Según la denuncia, los routers de Asus también cuentan con los servicios llamados AiCloud y AIDisk que permitieron a los consumidores conectar un disco duro USB en el router para crear su propio almacenamiento en la nube accesible desde cualquiera de sus dispositivos de forma inalámbrica. Mientras que Asus anuncia estos servicios son una "nube personal privada para el intercambio de archivos selectivos" y una forma de "segura para acceder a sus datos más preciados a través de su router," la demanda de la CFC alega que los servicios tuvieron fallos de seguridad graves.

Por ejemplo, la demanda alega que los hackers podrían explotar una vulnerabilidad en el servicio AiCloud desviándose de su pantalla de inicio de sesión y obtener acceso completo al dispositivo de almacenamiento conectado de un consumidor sin ningún tipo de credenciales, simplemente accediendo a una URL específica desde un navegador Web. Según informó el la CFC, ya hay cerca de 15.000 afectados.

Artículos relacionados