WiFi

¿Tu router está trabajando en secreto para servicios de inteligencia extranjeros?

Por qué los atacantes avanzados están interesados en los puntos de acceso Wi-Fi de tu hogar y cómo mantienen el control sobre tus dispositivos.

Stan Kaminsky
18 Ago 2025

La reciente filtración de miles de rúteres domésticos de ASUS demuestra que el punto de acceso Wi-Fi de tu hogar no solo es útil para ti (y posiblemente tus vecinos), sino que también es codiciado por los ciberdelincuentes e incluso los grupos cibercriminales patrocinados por estados que realizan ataques dirigidos de espionaje. Este nuevo ataque, presuntamente relacionado con el infame grupo APT31, aún está en curso. Lo que lo hace especialmente peligroso es su naturaleza sigilosa y el enfoque poco convencional requerido para defenderse. Por eso es crucial comprender por qué los actores maliciosos atacan los rúteres y cómo protegerse de estos trucos de los ciberdelincuentes.

Cómo se aprovechan los rúteres vulnerados

Proxy residencial. Cuando los ciberdelincuentes atacan a grandes empresas o agencias gubernamentales, los ataques suelen detectarse por direcciones IP inusuales que intentan acceder a la red segura. Es muy sospechoso que una empresa opere en un país, pero que un empleado se conecte de repente a la red corporativa desde otro. Los inicios de sesión desde direcciones de servidor VPN conocidas son igualmente sospechosos. Para enmascarar sus actividades, los ciberdelincuentes utilizan rúteres vulnerados ubicados en el país, y a veces incluso en la ciudad específica, cerca de su objetivo previsto. Todas sus solicitudes pasan por su router, que luego reenvía los datos al ordenador de destino. Para los sistemas de supervisión, esto parece simplemente un empleado normal accediendo a los recursos de trabajo desde casa, nada que llame la atención.
Servidor de comando y control. Los atacantes pueden alojar malware en el dispositivo vulnerado para que los equipos de destino lo descarguen. O, por el contrario, pueden filtrar datos de la red directamente a su router.
Señuelos para la competencia. Se puede utilizar un router como señuelo para estudiar las técnicas utilizadas por otros grupos de piratas informáticos.
Plataforma de minería. Cualquier dispositivo informático se puede utilizar para la criptominería. Utilizar un router para la minería no es particularmente eficiente, pero cuando un ciberdelincuente no paga por la electricidad o el equipo, aún le resulta rentable.
Herramienta de manipulación de tráfico. Un router vulnerado puede interceptar y alterar el contenido de las conexiones a Internet. Esto permite a los atacantes dirigirse a cualquier dispositivo conectado a la red doméstica. La gama de aplicaciones de esta técnica es amplia: desde el robo de contraseñas hasta la inyección de anuncios en páginas web.
Bot de DDoS. Cualquier dispositivo doméstico, incluidos los rúteres, monitores para bebés, altavoces inteligentes e incluso hervidores inteligentes, puede conectarse a una botnet y utilizarse para saturar cualquier servicio en línea con millones de solicitudes simultáneas desde esos dispositivos.

Estas opciones atraen a varios grupos de atacantes. Si bien los ataques de minería, inyección de anuncios y DDoS suelen ser de interés para los ciberdelincuentes con motivaciones financieras, los ataques dirigidos lanzados desde detrás de una dirección IP residencial suelen ser llevados a cabo por bandas de ransomware o por grupos dedicados al espionaje genuino. Esto parece sacado de una novela de espías, pero está tan extendido que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de los EE. UU. y el FBI han emitido varias advertencias al respecto en distintos momentos. Fieles a su estilo, los espías operan con el mayor sigilo, por lo que los propietarios de los rúteres rara vez notan que su dispositivo se está utilizando para más fines de los previstos.

Cómo se hackean los rúteres

Las dos formas más comunes de piratear un router son forzar la contraseña a su interfaz de administración y aprovechar las vulnerabilidades del software en su firmware. En el primer escenario, los atacantes se aprovechan de que los propietarios dejan el router con su configuración de fábrica y la contraseña predeterminada admin, o han cambiado la contraseña por algo simple de recordar, y fácil de adivinar, como 123456. Una vez que descifran la contraseña, los atacantes pueden iniciar sesión en el panel de control como lo haría el propietario.

En el segundo escenario, los atacantes examinan remotamente el router para identificar su fabricante y modelo, luego prueban las vulnerabilidades conocidas una por una para tomar el control del dispositivo.

Por lo general, después de un ataque exitoso, instalan malware oculto en el router para realizar las funciones deseadas. Puedes darte cuenta de que algo va mal cuando Internet se ralentiza, la CPU del router trabaja más de la cuenta o incluso el propio router empieza a sobrecalentarse. Un restablecimiento de fábrica o una actualización de firmware generalmente elimina la amenaza. Sin embargo, los recientes ataques a los rúteres de ASUS fueron una historia diferente.

Qué hace que los ataques de ASUS sean diferentes y cómo detectarlos

Lo principal de este ataque es que no puedes solucionarlo con una sencilla actualización de firmware. Los atacantes establecen una puerta trasera oculta con acceso administrativo que persiste a través de reinicios regulares y actualizaciones de firmware.

Para iniciar el ataque, el actor malicioso emplea las dos técnicas descritas anteriormente. Si falla el ataque de fuerza bruta a la contraseña, los atacantes aprovechan dos vulnerabilidades para evitar la autenticación por completo.

A partir de este momento, el ataque se vuelve más sofisticado. Los atacantes utilizan otra vulnerabilidad para activar la función de administración remota SSH incorporada en el router. Luego, añaden su propia clave criptográfica a la configuración, lo que les permite conectarse al dispositivo y controlarlo.

Pocos usuarios domésticos administran su router usando SSH o revisan la sección de configuración donde se enumeran las claves administrativas, por lo que esta técnica de acceso puede pasar desapercibida durante años.

Las tres vulnerabilidades aprovechadas en este ataque han sido corregidas con parches por el proveedor. Sin embargo, si tu router fue vulnerado anteriormente, la actualización de firmware no eliminará la puerta trasera. Tienes que abrir la configuración de tu router y comprobar si hay un servidor SSH habilitado, a la escucha en el puerto 53282. Si es así, desactiva el servidor SSH y elimina la clave SSH administrativa, que comienza con los caracteres

AAAAB3NzaC1yc2EA

Si no estás seguro de cómo hacer todo eso, hay una solución más drástica: un restablecimiento completo de fábrica.

No es solo ASUS

Los investigadores que descubrieron el ataque de ASUS creen que es parte de una campaña más amplia que ha afectado a alrededor de 60 tipos de dispositivos domésticos y de oficina, incluidos los sistemas de vigilancia por vídeo, las cajas NAS y los servidores VPN de oficina. Los dispositivos afectados incluyen D-Link DIR-850L S, Cisco RV042, Araknis Networks AN-300-RT-4L2W, Linksys LRT224 y algunos dispositivos de QNAP. Los ataques a estos dispositivos se desarrollan de manera un poco diferente, pero comparten las mismas características generales: aprovechar las vulnerabilidades, utilizar las funciones integradas en el dispositivo para obtener el control y mantener el sigilo. Según las evaluaciones de los investigadores, los dispositivos vulnerados se están utilizando para redirigir el tráfico y supervisar las técnicas de ataque empleadas por los actores de amenazas rivales. Estos ataques se atribuyen a un grupo cibercriminal “con buenos recursos y muy capaz”. Sin embargo, grupos de ataque dirigidos en todo el mundo han adoptado técnicas similares, razón por la cual los rúteres domésticos en cualquier país medianamente grande son ahora un objetivo atractivo para ellos.

Conclusiones y consejos

El ataque a los rúteres domésticos de ASUS muestra los signos clásicos de intrusiones dirigidas: sigilo, vulneración sin usar malware y la creación de canales de acceso persistente que permanecen abiertos incluso después de que se parchea la vulnerabilidad y se actualiza el firmware. Entonces, ¿qué puede hacer un usuario doméstico para defenderse de estos atacantes?

La elección del router es importante. No te conformes con el router estándar que te alquila tu proveedor y no busques solo la opción más barata. Explora la oferta de las tiendas de electrónica y escoge un modelo lanzado en los últimos uno o dos años para asegurarte de recibir actualizaciones de firmware en los próximos años. Trata de escoger un fabricante que se tome la seguridad en serio. Esto es complicado, ya que no existen las opciones perfectas. Por lo general, puedes utilizar la frecuencia de las actualizaciones de firmware y el período de soporte indicado por el fabricante como guía. Puedes encontrar las últimas noticias sobre seguridad de rúteres en sitios como Router Security, pero no esperes encontrar “buenas historias” allí; es más útil para encontrar “antihéroes”.
Actualiza el firmware de tu dispositivo con regularidad. Si tu router ofrece una función de actualización automática, es mejor activarla para que no tengas que preocuparte por las actualizaciones manuales ni por quedar desactualizado. Aún así, es una buena idea verificar el estado, la configuración y la versión de firmware de tu router varias veces al año. Si no has recibido una actualización de firmware en 12 a 18 meses, puede ser el momento de considerar reemplazar el router por un modelo más nuevo.
Desactiva todos los servicios innecesarios en tu router. Revisa todas las configuraciones y desactiva las funciones adicionales que no uses.
Desactiva el acceso administrativo a tu router desde Internet (WAN) a través de todos los canales de administración (SSH, HTTPS, Telnet y cualquier otro).
Desactiva las aplicaciones de administración de rúteres móviles. Si bien son convenientes, estas aplicaciones introducen una variedad de nuevos riesgos: además de tu teléfono inteligente y router, es probable que intervenga un servicio en la nube patentado. Por esta razón, es mejor desactivar este método de administración y evitar su uso.
Cambia las contraseñas predeterminadas tanto para la administración del router como para el acceso a Wi-Fi. Estas contraseñas no deberían coincidir. Cada una debe ser larga y no estar formada por palabras o números obvios. Si tu router lo permite, cambia el nombre de usuario admin por algo único.
Utiliza una protección integral para tu red doméstica. Por ejemplo, Kaspersky Premium viene con un módulo de protección para el hogar inteligente que supervisa problemas comunes como dispositivos vulnerables y contraseñas débiles. Si el monitor de casa inteligente detecta puntos débiles o un nuevo dispositivo en tu red que no hayas identificado previamente como conocido, te avisará y te proporcionará recomendaciones para asegurar tu red.
Revisa cada página de la configuración de tu router. Busca las siguientes señales sospechosas: (1) reenvío de puertos a dispositivos desconocidos en tu red doméstica o Internet, (2) nuevas cuentas de usuario que no hayas creado y (3) claves SSH desconocidas o cualquier otra credencial de inicio de sesión. Si encuentras algo como esto, busca en línea el modelo de tu router combinado con la información sospechosa que hayas descubierto, como un nombre de usuario o una dirección de puerto. Si no encuentras ninguna mención al problema que has descubierto como una característica documentada del sistema de tu router, elimina esos datos.
Suscríbete a nuestro canal de Telegram y mantente al día de todas las noticias sobre ciberseguridad.

Para obtener más consejos sobre cómo elegir, configurar y proteger tus dispositivos domésticos inteligentes, así como información sobre otras amenazas de piratas informáticos contra los aparatos electrónicos de tu hogar, consulta estas publicaciones:

La mejor estrategia para tu hogar inteligente

Cómo proteger tu hogar inteligente

Un hogar no tan inteligente

Tres razones para no usar cerraduras inteligentes

Las amenazas secretas del malware en los rúteres

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Desglosamos el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS): para qué sirve, cómo se usa en la práctica y por qué la puntuación Base es solo el comienzo (y no el final) de la evaluación de vulnerabilidades.

Privacidad y niños

¿Tu router está trabajando en secreto para servicios de inteligencia extranjeros?

Cómo se aprovechan los rúteres vulnerados

Cómo se hackean los rúteres

Qué hace que los ataques de ASUS sean diferentes y cómo detectarlos

No es solo ASUS

Conclusiones y consejos

Wi-Fi falso a bordo de un vuelo

¿Vas a desechar un dispositivo? Recuerda limpiar esto antes

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Consejos

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Nueve hábitos online que deberías cambiar

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia