Blog

Qué es UPnP y por qué no es demasiado seguro

Qué es UPnP y por qué no es demasiado seguro

Universal Plug and Play (UPnP) es un protocolo que permite que las aplicaciones y otros dispositivos de una red abran y cierren puertos automáticamente para conectarse entre sí sin necesidad de que el usuario tenga que llevar a cabo ninguna configuración de forma manual. También sirve para que los dispositivos puedan crear canales de comunicación más directos con Internet.

Prácticamente, la mayoría de dispositivos IoT, como por ejemplo televisores inteligentes o asistentes como Google Home y Amazon Alexa utilizan UPnP.

Y pueden unirse automáticamente a una red, obtener una dirección IP y encontrar y conectarse a otros dispositivos de la misma red.

¿Por qué no es seguro UPnP?

Originalmente, UPnP solo funcionaba a nivel de LAN lo que significa que solo los dispositivos de la misma red local podían conectarse entre sí.

Sin embargo, muchos fabricantes de routers ahora habilitan UPnP de manera que sea accesible desde la WAN (red que abarca un área geográfica extensa, como una ciudad o un país) por lo cual puede presentar muchos problemas de seguridad.

UPnP no emplea autenticación ni pide autorización, y asume que los dispositivos que intentan conectarse son confiables y provienen de una red local.

Tener UPnP habilitado equivale a instalar una cerradura industrial en una puerta y dejar la llave puesta.

Esto significa que los piratas informáticos pueden encontrar puertas traseras en una red e intentar penetrarla aprovechando que este protocolo se encuentra habilitado.

Por ejemplo, pueden hacerse pasar por una Xbox, enviar una solicitud UPnP al router que posiblemente abrirá amablemente el puerto, sin hacer preguntas.

Una vez que el pirata informático tiene presencia en la red, puede llevar a cabo acciones maliciosas como por ejemplo:

  • Obtener acceso remoto a otros dispositivos.
  • Instalar malware.
  • Inyectar scripts maliciosos.
  • Tener acceso a archivos del sistema.
  • Robar información confidencial.

También puede emplear el router como servidor proxy para ocultar otras actividades maliciosas llevadas a cabo en una red de bots más amplia.

  • Difundir malware.
  • Enviar spam.
  • Realizar ataques de phishing.
  • Ofuscar los orígenes de las redes de bots.
  • Efectuar ataques de denegación de servicio (DDoS).

Cualquier troyano, por ejemplo un RAT, también podría solicitar que el firewall abra un puerto haciéndose pasar por cualquier dispositivo habilitado para UPnP.

En ese sentido, UPnP hace que los firewalls sean inútiles.

Cómo protegerse

Los usuarios que no quieran renunciar a la comodidad pueden activar manualmente el sistema de autentificación UPnP-UP – Universal Plug and Play - User Profile para cada dispositivo que se conecte al router.

Esto hace que el router requiera mecanismos de autorización y autenticación para todos los dispositivos que quieran conectarse a la red. 

Sin embargo, no todos los dispositivos lo admiten y tampoco es una maravilla en cuanto a seguridad y cifrado.

Por lo tanto, la mejor opción es deshabilitarlo definitivamente y realizar el reenvío de puertos cuando sea necesario.

Si ninguna de estas soluciones no se ajusta a tus necesidades, es posible que sea inevitable dejar el protocolo UPnP activo en el router.

Comprueba tu router

Podría ser complicado para los usuarios determinar si un dispositivo tiene un fallo de seguridad relacionado con UPnP o ha sido infectado.

Algunos dispositivos pueden estar ocultos detrás de NAT (mecanismo utilizado por routers IP para cambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles) de modo que incluso si existe una vulnerabilidad, es posible que el usuario no vea el impacto de inmediato

Si ves un cambio drástico en el uso del tráfico de red, puedes verificar los registros de tu router.

  1. Abre un navegador web en un equipo conectado a la red.
  2. En la barra de direcciones del navegador teclea: 192.168.1.1
  3. Introduce el nombre de usuario y la contraseña del router.
  4. Selecciona Avanzado > Administración > Registros.
  5. Para actualizar la página de registros, haz clic en el botón Actualizar.

La pantalla de registros muestra la siguiente información:

  • La fecha y la hora en las que se registró cualquier entrada.
  • La IP de origen.
  • La dirección IP de los dispositivos conectados.
  • Dirección de destino.
  • El nombre o la dirección IP de los sitios web al que a los que se ha tratado de acceder.
  • La acción que se ha producido; por ejemplo, si se ha bloqueado o permitido el acceso a Internet

F-Secure Router Checker es una forma gratuita e instantánea de ver si los delincuentes se han apropiado de tu dispositivo.

Escaneará la configuración del router de tu sistema Windows y comprobará si la configuración de DNS o el propio dispositivo han sido secuestrados o se han visto comprometidos.

También puedes analizar tu red doméstica con la  herramienta Trend Micro HouseCall para comprobar qué dispositivos tienen abierto el puerto UPnP 190.

Activar o desactivar UPnP

Para activar o desactivar UPnP en nuestro router es necesario acceder a la interfaz web de su configuración.

Con el equipo conectado mediante WiFi (o mejor por cable Ethernet) escribe en el navegador la URL del router, por defecto acostumbra a ser 192.168.1.1.

Introduce el nombre de usuario y contraseña de acceso al router.

Activar o desactivar UPnP

Cuanto aparezca el menú, ve a la sección Advanced Network Setting, y Marca la casilla Enable UPnP para activarlo, o Disable UPnP para desactivarlo.

Pulsa Save Settings.

Es posible que el menú también aparezca en español.

Algunos proveedores de servicios de Internet, permiten acceder al router directamente desde el área de cliente.

Y en muchos casos su soporte técnico puede desactivar UPnP por ti.

Qué sucede si apago UPnP en mi router

Si no usas aplicaciones que necesiten reenvío de puertos, ni acostumbras a transmitir contenido entre dispositivos, es mejor que desactives UPnP por completo.

Pero si apagas UPnP, tu router ignorará todas las solicitudes entrantes.

Esto significa que el router ya no abrirá automáticamente puertos en tu LAN, ignorando incluso las solicitudes legítimas.

Por lo tanto, no podrás conectar dispositivos de tu red mediante este protocolo.

Tendrás que configurar manualmente las reglas de reenvío de puertos para cada conexión específica, lo que requerirá más tiempo y conocimientos técnicos.

Sin embargo, existen tutoriales en línea para guiarte en el proceso.