Si tienes un sistema
mesh Linksys Velop Pro 6E o Linksys Velop Pro 7 en tu casa u oficina para mejorar el alcance de la red wifi, quizás va siendo hora de cambiar el nombre de la red y la contraseña. Esta es a día de hoy la única solución conocida para que estos dispositivos no envíen a un servidor de Amazon en Estados Unidos las credenciales de inicio de sesión en un texto plano.
Según
Test Aankoop, la asociación de consumidores de Bélgica, los sistemas wifi de malla (
mesh) Linksys Velop Pro 6E y Linksys Velop Pro 7 envían durante su instalación paquetes de datos a un servidor de Amazon en Estados Unidos. Estos datos incluyen el identificador de la red (SSID) de área local (que sirve para diferenciarla del resto de redes inalámbricas de la zona) y la contraseña en texto plano, tokens de identificación de la red y un token de acceso para una sesión de usuario. Estos datos allanan el camino para un ataque MITM (Man in the middle).
Un ataque MITM con éxito es capaz de sustraer mucha información, ya que se trata de un tipo de ofensiva que intercepta la comunicación entre dos o más partes, pudiendo llegar a suplantar la identidad de uno u otro para ver la información y modificarla. "Generalmente este tipo de ataques son muy peligrosos y difíciles de detectar", dice el
INCIBE (Instituto Nacional de Ciberseguridad).
Test Aankoop realizó varias pruebas con Linksys Velop Pro 6E y Linksys Velop Pro 7 usando el último
firmware, pero a pesar de haber avisado a Linksys en noviembre del año pasado no se habían tomado medidas para solucionar el fallo de seguridad. Desde entonces Linksys ha lanzado una actualización, pero no abordó el fallo descubierto por la asociación de consumidores belga. En su opinión, el problema podría deberse a un software
third-party que usa el
firmware de Linksys, una marca que desde 2018 (y junto a Belkin y Wemo) forma parte de
Foxconn, uno de los mayores fabricantes de componentes del mundo.
A falta de que Linksys mueva ficha, la solución pasa por cambiar el nombre de la red wifi (SSID) y la contraseña mediante la interfaz web y no la aplicación. De esta forma se evita el envío de datos en texto plano a un servidor de Estados Unidos.
Fuente: stackdiary