tal vez el cuadro parpadeante era solo una distracción.
Tal vez no. Tal vez la caja estaba previamente programada para hacer algo malicioso.
3 s es realmente mucho tiempo para una computadora.
En ese momento, definitivamente obtuvo una impresión de las direcciones IP utilizadas (ya sea por DHCP o simplemente detectando una solicitud ARP o un par de docenas de ellas), muy probablemente pudo determinar la dirección IP pública y privada de su enrutador, y obtenga una visión general de las máquinas de tipo PC activas en su red (asumiendo que todavía son muy ruidosas). Habrá sido tiempo suficiente para abrir un puerto usando UPnP en el interior y llamar a algún servidor a casa para que ese servidor sepa "dónde has estado".
No respondiste claramente a la pregunta de si tu enrutador tenía contraseñas predeterminadas cuando la persona conectó su caja. Si lo hizo, sí, podría haber sido comprometido. Ignoraría a las personas que dicen que necesitan esperar segundos para que se carguen las páginas de administración de su enrutador. No conozco su enrutador, por lo que podría a) no ser tan lento en primer lugar, b) tener una administración interfaz asegurada con la misma contraseña que es mucho más rápida para interactuar y c) para hacer algo con la interfaz, no tiene que esperar hasta que todas las páginas de inicio de sesión se hayan cargado por completo si sabe qué URL necesita cargar con qué parámetros .
Ahora, las contraseñas predeterminadas no son tan útiles si el atacante no conoce el tipo de dispositivo que tiene. Pero, nuevamente, 3s es bastante largo, y eso sería suficiente para averiguar qué dispositivo usas y luego probar las credenciales predeterminadas. Además, es posible que haya habido conocimiento previo: la mayoría de las personas solo tienen el enrutador que les proporciona su ISP, y es bastante fácil adivinar el ISP de la gente (o puede leerlo desde su dirección IP pública, y nuevamente, 3s es un tiempo largo si estamos bien preparados).
Lo que se puede decir acerca de las credenciales predeterminadas también se aplica a los problemas de seguridad no parcheados de los enrutadores. Personalmente me conecté a las LAN de más de un enrutador donde la interfaz web era realmente tan defectuosa, filtró información de configuración que podría usarse para obtener acceso en la LAN, incluso si no tenía las credenciales.
Y, todo lo que digo aquí también se aplica a los otros dispositivos en la red. Tal vez el atacante no estaba en absoluto detrás del enrutador, sino después de las máquinas Windows con agujeros de seguridad, lo que podría ser muy útil, por ejemplo. como servidores de contenido ilegal.
Ahora, la gente hoy en día parece preferir obtener máquinas / redes víctimas con mucho menos riesgo, simplemente enviando malware, esperando que uno de cada diez mil (¿millones?) correos electrónicos conduzca a una infección, creando una red de bots.
Por lo tanto, personalmente consideraría que tu red fue atacada, pero es un poco dudoso cuál sería la superficie de ataque. Por lo tanto, trataría de no ser demasiado paranoico al respecto. Es decir, a menos que tenga una preocupación razonable (¡no una teoría de conspiración!) De que alguien tenga suficiente interés político / financiero / de inteligencia en obtener acceso a sus computadoras, por ejemplo, para filtrar secretos de su empleador, que confía en usted y su computadora portátil, para enviar a alguien a correr el riesgo de presentarse en persona! Ahora, alguien que haya sido contratado para hacerlo probablemente no tendría que preguntar acerca de cuánto ingreso tiene, cuántas personas viven en su hogar, etc.
Sin embargo, restaurar la configuración de fábrica en su enrutador, actualizar una imagen de firmware limpia (o simplemente comprar una nueva, si tiene una barata), establecer nuevas contraseñas separadas e indiscutibles para el acceso al enrutador y WiFi, escanear toda su red. máquinas para virus y tener el doble de cuidado que pronto alguien intenta convencerte de que entregues dinero o algo similar basado en "secretos" que, por ejemplo, solo la oficina de impuestos o su empleador deberían tener (pero un atacante podría haber accedido a su computadora) seguramente no sería demasiado cauteloso. Buena suerte!