El bienintencionado hacker instaló un documento titulado “Warning you are vulnerable.txt” (advertencia: usted es vulnerable) en los sistemas de los clientes de ASUS. El documento incluía una sencilla explicación, donde se señalaba que el router estaba abierto para todo tipo de abusos, junto con instrucciones sobre la forma de protegerse.
El problema no sólo afectó los discos duros de los usuarios, sino también dispositivos de almacenamiento externo conectados a los servicios AiCloud y AiDisk, de almacenamiento en la nube. En el mismo período, otra fuente publicó una lista de aproximadamente 13.000 direcciones IP afectadas.
En ese entonces, un usuario identificado como Kyle Lovett, posiblemente un seudónimo, escribió en la lista Full Disclosure, que ASUS habría mostrado desinterés por la información o por advertir a sus clientes.
Siete meses más tarde, y 9 días después de la lista de direcciones IP afectadas fuese publicada, ASUS distribuyó una versión parcheada de su firmware, que eliminó algunas de las vulnerabilidades.
Esta situación ha sido investigada desde 2014 por la Comisión Federal de Comercio, FTC, de Estados Unidos, que el 23 de febrero anunció haber llegado a un acuerdo extrajudicial con el fabricante taiwanés. “ASUS equipa sus routers con una serie de funciones de seguridad, que según la empresa protegen la red y el sistema contra acceso no autorizado, hackeo y virus. A pesar de estas seguridades, FTC concluye que la empresa no ha dado los pasos necesarios para asegurar el software de los dispositivos”, se indica en la resolución.
“Internet de las cosas está creciendo a pasos agigantados, con millones de consumidores conectando sus dispositivos inteligentes a sus redes domésticas” declaró Jessica Rich, directora de la oficina de protección al consumidor de FTC, agregando “los routers desempeñan un papel clave al asegurar las redes domésticas, por lo que es fundamental que empresas como ASUS instalen seguridad razonable con el fin de proteger a los consumidores y la información personal de estos”.
Veinte años de auditorías
Como parte del acuerdo extrajudicial, las autoridades anunciaron además una medida punitiva en contra de ASUS. FTC obliga a la empresa a someterse a un intenso programa de seguridad, con revisiones periódicas auditadas por una instancia externa, durante los próximos 20 años. Asimismo, anuncia multas de hasta USD 16.000 por cada incidencia que vulnere los puntos del acuerdo extrajudicial.
El acuerdo entrará en vigor al cabo de un proceso de 30 días de duración, con audiencias abiertas para todos los interesados.