{"id":31166,"date":"2025-08-18T11:52:17","date_gmt":"2025-08-18T09:52:17","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31166"},"modified":"2025-08-18T11:52:57","modified_gmt":"2025-08-18T09:52:57","slug":"save-your-home-router-from-apt-residential-proxy","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/save-your-home-router-from-apt-residential-proxy\/31166\/","title":{"rendered":"\u00bfTu router est\u00e1 trabajando en secreto para servicios de inteligencia extranjeros?"},"content":{"rendered":"<p>La reciente <a href=\"https:\/\/www.greynoise.io\/blog\/stealthy-backdoor-campaign-affecting-asus-routers\" target=\"_blank\" rel=\"nofollow noopener\">filtraci\u00f3n de miles de r\u00fateres dom\u00e9sticos de ASUS<\/a> demuestra que el punto de acceso Wi-Fi de tu hogar no solo es \u00fatil para ti (y posiblemente <a href=\"https:\/\/www.kaspersky.es\/blog\/how-to-protect-wifi-from-neighbors\/24915\/\" target=\"_blank\" rel=\"nofollow noopener\">tus vecinos<\/a>), sino que tambi\u00e9n es codiciado por los ciberdelincuentes e incluso los grupos cibercriminales patrocinados por estados que realizan ataques dirigidos de espionaje. Este nuevo ataque, presuntamente relacionado con el infame grupo APT31, a\u00fan est\u00e1 en curso. Lo que lo hace especialmente peligroso es su naturaleza sigilosa y el enfoque poco convencional requerido para defenderse. Por eso es crucial comprender por qu\u00e9 los actores maliciosos atacan los r\u00fateres y c\u00f3mo protegerse de estos trucos de los ciberdelincuentes.<\/p>\n<h2>C\u00f3mo se aprovechan los r\u00fateres vulnerados<\/h2>\n<ul>\n<li><strong>Proxy residencial.<\/strong> Cuando los ciberdelincuentes atacan a grandes empresas o agencias gubernamentales, los ataques suelen detectarse por direcciones IP inusuales que intentan acceder a la red segura. Es muy sospechoso que una empresa opere en un pa\u00eds, pero que un empleado se conecte de repente a la red corporativa desde otro. Los inicios de sesi\u00f3n desde direcciones de servidor VPN conocidas son igualmente sospechosos. Para enmascarar sus actividades, los ciberdelincuentes utilizan r\u00fateres vulnerados ubicados en el pa\u00eds, y <a href=\"https:\/\/www.kaspersky.com\/blog\/residential-proxies-risks-and-mitigation\/50991\/\" target=\"_blank\" rel=\"nofollow noopener\">a veces incluso en la ciudad espec\u00edfica, cerca de su objetivo previsto<\/a>. Todas sus solicitudes pasan por su router, que luego reenv\u00eda los datos al ordenador de destino. Para los sistemas de supervisi\u00f3n, esto parece simplemente un empleado normal accediendo a los recursos de trabajo desde casa, nada que llame la atenci\u00f3n.<\/li>\n<li><strong>Servidor de comando y control.<\/strong> Los atacantes pueden alojar malware en el dispositivo vulnerado para que los equipos de destino lo descarguen. O, por el contrario, pueden filtrar datos de la red directamente a su router.<\/li>\n<li><strong>Se\u00f1uelos para la competencia.<\/strong> Se puede utilizar un router como se\u00f1uelo para estudiar las t\u00e9cnicas utilizadas por otros grupos de piratas inform\u00e1ticos.<\/li>\n<li><strong>Plataforma de miner\u00eda.<\/strong> Cualquier dispositivo inform\u00e1tico se puede utilizar para la criptominer\u00eda. Utilizar un router para la miner\u00eda no es particularmente eficiente, pero cuando un ciberdelincuente no paga por la electricidad o el equipo, a\u00fan le resulta rentable.<\/li>\n<li><strong>Herramienta de manipulaci\u00f3n de tr\u00e1fico. <\/strong>Un router vulnerado puede interceptar y alterar el contenido de las conexiones a Internet. Esto permite a los atacantes dirigirse a cualquier dispositivo conectado a la red dom\u00e9stica. La gama de aplicaciones de esta t\u00e9cnica es amplia: <a href=\"https:\/\/www.kaspersky.es\/blog\/router-malware\/27267\/\" target=\"_blank\" rel=\"nofollow noopener\">desde el robo de contrase\u00f1as hasta la inyecci\u00f3n de anuncios en p\u00e1ginas web<\/a>.<\/li>\n<li><strong>Bot de DDoS.<\/strong> Cualquier dispositivo dom\u00e9stico, incluidos los r\u00fateres, monitores para beb\u00e9s, altavoces inteligentes e incluso hervidores inteligentes, puede conectarse a una botnet y utilizarse para saturar cualquier servicio en l\u00ednea con millones de solicitudes simult\u00e1neas desde esos dispositivos.<\/li>\n<\/ul>\n<p>Estas opciones atraen a varios grupos de atacantes. Si bien los ataques de miner\u00eda, inyecci\u00f3n de anuncios y DDoS suelen ser de inter\u00e9s para los ciberdelincuentes con motivaciones financieras, los ataques dirigidos lanzados desde detr\u00e1s de una direcci\u00f3n IP residencial suelen ser llevados a cabo por bandas de ransomware o por grupos dedicados al espionaje genuino. Esto parece sacado de una novela de esp\u00edas, pero est\u00e1 tan extendido que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (<a href=\"https:\/\/www.cisa.gov\/sites\/default\/files\/2024-01\/SbD-Alert-Security-Design-Improvements-for-SOHO-Device-Manufacturers.pdf\" target=\"_blank\" rel=\"nofollow noopener\">CISA)<\/a> de los EE.\u00a0UU. y el <a href=\"https:\/\/www.ic3.gov\/PSA\/2025\/PSA250507\" target=\"_blank\" rel=\"nofollow noopener\">FBI<\/a> han emitido varias advertencias al respecto en distintos momentos. Fieles a su estilo, los esp\u00edas operan con el mayor sigilo, por lo que los propietarios de los r\u00fateres rara vez notan que su dispositivo se est\u00e1 utilizando para m\u00e1s fines de los previstos.<\/p>\n<h2>C\u00f3mo se hackean los r\u00fateres<\/h2>\n<p>Las dos formas m\u00e1s comunes de piratear un router son forzar la contrase\u00f1a a su interfaz de administraci\u00f3n y aprovechar las vulnerabilidades del software en su firmware. En el primer escenario, los atacantes se aprovechan de que los propietarios dejan el router con su configuraci\u00f3n de f\u00e1brica y la contrase\u00f1a predeterminada <strong>admin<\/strong>, o han cambiado la contrase\u00f1a por algo simple de recordar, y f\u00e1cil de adivinar, como <strong>123456<\/strong>. Una vez que descifran la contrase\u00f1a, los atacantes pueden iniciar sesi\u00f3n en el panel de control como lo har\u00eda el propietario.<\/p>\n<p>En el segundo escenario, los atacantes examinan remotamente el router para identificar su fabricante y modelo, luego prueban las vulnerabilidades conocidas una por una para tomar el control del dispositivo.<\/p>\n<p>Por lo general, despu\u00e9s de un ataque exitoso, instalan malware oculto en el router para realizar las funciones deseadas. Puedes darte cuenta de que algo va mal cuando Internet se ralentiza, la CPU del router trabaja m\u00e1s de la cuenta o <a href=\"https:\/\/www.kaspersky.es\/blog\/router-malware\/27267\/\" target=\"_blank\" rel=\"nofollow noopener\">incluso el propio router empieza a sobrecalentarse<\/a>. Un restablecimiento de f\u00e1brica o una actualizaci\u00f3n de firmware generalmente elimina la amenaza. Sin embargo, los recientes ataques a los r\u00fateres de ASUS fueron una historia diferente.<\/p>\n<h2>Qu\u00e9 hace que los ataques de ASUS sean diferentes y c\u00f3mo detectarlos<\/h2>\n<p>Lo principal de este ataque es que no puedes solucionarlo con una sencilla actualizaci\u00f3n de firmware. Los atacantes establecen una puerta trasera oculta con acceso administrativo que persiste a trav\u00e9s de reinicios regulares y actualizaciones de firmware.<\/p>\n<p>Para iniciar el ataque, el actor malicioso emplea las dos t\u00e9cnicas descritas anteriormente. Si falla el ataque de fuerza bruta a la contrase\u00f1a, los atacantes aprovechan dos vulnerabilidades para evitar la autenticaci\u00f3n por completo.<\/p>\n<p>A partir de este momento, el ataque se vuelve m\u00e1s sofisticado. Los atacantes utilizan otra vulnerabilidad para activar la funci\u00f3n de administraci\u00f3n remota SSH incorporada en el router. Luego, a\u00f1aden su propia clave criptogr\u00e1fica a la configuraci\u00f3n, lo que les permite conectarse al dispositivo y controlarlo.<\/p>\n<p>Pocos usuarios dom\u00e9sticos administran su router usando SSH o revisan la secci\u00f3n de configuraci\u00f3n donde se enumeran las claves administrativas, por lo que esta t\u00e9cnica de acceso puede pasar desapercibida durante a\u00f1os.<\/p>\n<p>Las tres vulnerabilidades aprovechadas en este ataque han sido corregidas con parches por el proveedor. Sin embargo, si tu router fue vulnerado anteriormente, la actualizaci\u00f3n de firmware no eliminar\u00e1 la puerta trasera. Tienes que abrir la configuraci\u00f3n de tu router y comprobar si hay un servidor SSH habilitado, a la escucha en el puerto 53282. Si es as\u00ed, desactiva el servidor SSH y elimina la clave SSH administrativa, que comienza con los caracteres<\/p>\n<p><strong><em>AAAAB3NzaC1yc2EA<\/em><\/strong><\/p>\n<p>Si no est\u00e1s seguro de c\u00f3mo hacer todo eso, hay una soluci\u00f3n m\u00e1s dr\u00e1stica: un restablecimiento completo de f\u00e1brica.<\/p>\n<h2>No es solo ASUS<\/h2>\n<p>Los investigadores que descubrieron el ataque de ASUS creen que es parte de una <a href=\"https:\/\/blog.sekoia.io\/vicioustrap-infiltrate-control-lure-turning-edge-devices-into-honeypots-en-masse\/\" target=\"_blank\" rel=\"nofollow noopener\">campa\u00f1a m\u00e1s amplia<\/a> que ha afectado a alrededor de 60 tipos de dispositivos dom\u00e9sticos y de oficina, incluidos los sistemas de vigilancia por v\u00eddeo, las cajas NAS y los servidores VPN de oficina. Los dispositivos afectados incluyen D-Link DIR-850L S, Cisco RV042, Araknis Networks AN-300-RT-4L2W, Linksys LRT224 y algunos dispositivos de QNAP. Los ataques a estos dispositivos se desarrollan de manera un poco diferente, pero comparten las mismas caracter\u00edsticas generales: aprovechar las vulnerabilidades, utilizar las funciones integradas en el dispositivo para obtener el control y mantener el sigilo. Seg\u00fan las evaluaciones de los investigadores, los dispositivos vulnerados se est\u00e1n utilizando para redirigir el tr\u00e1fico y supervisar las t\u00e9cnicas de ataque empleadas por los actores de amenazas rivales. Estos ataques se atribuyen a un grupo cibercriminal \u201ccon buenos recursos y muy capaz\u201d. Sin embargo, grupos de ataque dirigidos en todo el mundo han adoptado t\u00e9cnicas similares, raz\u00f3n por la cual los r\u00fateres dom\u00e9sticos en cualquier pa\u00eds medianamente grande son ahora un objetivo atractivo para ellos.<\/p>\n<h2>Conclusiones y consejos<\/h2>\n<p>El ataque a los r\u00fateres dom\u00e9sticos de ASUS muestra los signos cl\u00e1sicos de intrusiones dirigidas: sigilo, vulneraci\u00f3n sin usar malware y la creaci\u00f3n de canales de acceso persistente que permanecen abiertos incluso despu\u00e9s de que se parchea la vulnerabilidad y se actualiza el firmware. Entonces, \u00bfqu\u00e9 puede hacer un usuario dom\u00e9stico para defenderse de estos atacantes?<\/p>\n<ul>\n<li><strong>La elecci\u00f3n del router es importante.<\/strong> No te conformes con el router est\u00e1ndar que te alquila tu proveedor y no busques solo la opci\u00f3n m\u00e1s barata. Explora la oferta de las tiendas de electr\u00f3nica y escoge un modelo lanzado en los \u00faltimos uno o dos a\u00f1os para asegurarte de recibir actualizaciones de firmware en los pr\u00f3ximos a\u00f1os. Trata de escoger un fabricante que se tome la seguridad en serio. Esto es complicado, ya que no existen las opciones perfectas. Por lo general, puedes utilizar la frecuencia de las actualizaciones de firmware y el per\u00edodo de soporte indicado por el fabricante como gu\u00eda. Puedes encontrar las \u00faltimas noticias sobre seguridad de r\u00fateres en sitios como <a href=\"https:\/\/routersecurity.org\/RouterNews.php\" target=\"_blank\" rel=\"nofollow noopener\">Router Security<\/a>, pero no esperes encontrar \u201cbuenas historias\u201d all\u00ed; es m\u00e1s \u00fatil para encontrar \u201cantih\u00e9roes\u201d.<\/li>\n<li><strong>Actualiza el firmware de tu dispositivo con regularidad.<\/strong> Si tu router ofrece una funci\u00f3n de actualizaci\u00f3n autom\u00e1tica, es mejor activarla para que no tengas que preocuparte por las actualizaciones manuales ni por quedar desactualizado. A\u00fan as\u00ed, es una buena idea verificar el estado, la configuraci\u00f3n y la versi\u00f3n de firmware de tu router varias veces al a\u00f1o. Si no has recibido una actualizaci\u00f3n de firmware en 12 a 18 meses, puede ser el momento de considerar reemplazar el router por un modelo m\u00e1s nuevo.<\/li>\n<li><strong>Desactiva todos los servicios innecesarios en tu router.<\/strong> Revisa todas las configuraciones y desactiva las funciones adicionales que no uses.<\/li>\n<li><strong>Desactiva el acceso administrativo a tu router<\/strong> desde Internet (WAN) a trav\u00e9s de todos los canales de administraci\u00f3n (SSH, HTTPS, Telnet y cualquier otro).<\/li>\n<li><strong>Desactiva las aplicaciones de administraci\u00f3n de r\u00fateres m\u00f3viles.<\/strong> Si bien son convenientes, estas aplicaciones introducen una variedad de nuevos riesgos: adem\u00e1s de tu tel\u00e9fono inteligente y router, es probable que intervenga un servicio en la nube patentado. Por esta raz\u00f3n, es mejor desactivar este m\u00e9todo de administraci\u00f3n y evitar su uso.<\/li>\n<li><strong>Cambia las contrase\u00f1as predeterminadas<\/strong> tanto para la administraci\u00f3n del router como para el acceso a Wi-Fi. Estas contrase\u00f1as no deber\u00edan coincidir. Cada una debe ser larga y no estar formada por palabras o n\u00fameros obvios. Si tu router lo permite, cambia el nombre de usuario <strong>admin<\/strong> por algo \u00fanico.<\/li>\n<li><strong>Utiliza una protecci\u00f3n integral para tu red dom\u00e9stica.<\/strong> Por ejemplo, <a href=\"https:\/\/www.kaspersky.es\/premium?icid=es_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0viene con un <a href=\"https:\/\/support.kaspersky.com\/es\/kaspersky-for-windows\/21.21\/138204\" target=\"_blank\" rel=\"nofollow noopener\">m\u00f3dulo de protecci\u00f3n para el hogar inteligente<\/a> que supervisa problemas comunes como dispositivos vulnerables y contrase\u00f1as d\u00e9biles. Si el monitor de casa inteligente detecta puntos d\u00e9biles o un nuevo dispositivo en tu red que no hayas identificado previamente como conocido, te avisar\u00e1 y te proporcionar\u00e1 recomendaciones para asegurar tu red.<\/li>\n<li><strong>Revisa cada p\u00e1gina de la configuraci\u00f3n de tu router.<\/strong> Busca las siguientes se\u00f1ales sospechosas: (1) reenv\u00edo de puertos a dispositivos desconocidos en tu red dom\u00e9stica o Internet, (2) nuevas cuentas de usuario que no hayas creado y (3) claves SSH desconocidas o cualquier otra credencial de inicio de sesi\u00f3n. Si encuentras algo como esto, busca en l\u00ednea el modelo de tu router combinado con la informaci\u00f3n sospechosa que hayas descubierto, como un nombre de usuario o una direcci\u00f3n de puerto. Si no encuentras ninguna menci\u00f3n al problema que has descubierto como una caracter\u00edstica documentada del sistema de tu router, elimina esos datos.<\/li>\n<li><strong>Suscr\u00edbete a nuestro<\/strong> <a href=\"https:\/\/t.me\/kasperskyes\" target=\"_blank\" rel=\"nofollow noopener\"><strong>canal de Telegram<\/strong><\/a>\u00a0y mantente al d\u00eda de todas las noticias sobre ciberseguridad.<\/li>\n<\/ul>\n<blockquote><p>Para obtener m\u00e1s consejos sobre c\u00f3mo elegir, configurar y proteger tus dispositivos dom\u00e9sticos inteligentes, as\u00ed como informaci\u00f3n sobre otras amenazas de piratas inform\u00e1ticos contra los aparatos electr\u00f3nicos de tu hogar, consulta estas publicaciones:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/smart-home-zigbee-thread-matter-advice\/28484\/\" target=\"_blank\" rel=\"nofollow noopener\">La mejor estrategia para tu hogar inteligente<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/how-to-secure-smart-home\/28543\/\" target=\"_blank\" rel=\"nofollow noopener\">C\u00f3mo proteger tu hogar inteligente<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/vulnerability-in-smart-home-control-app\/30978\/\" target=\"_blank\" rel=\"nofollow noopener\">Un hogar no tan inteligente<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/3-reasons-not-to-use-smart-locks\/28716\/\" target=\"_blank\" rel=\"nofollow noopener\">Tres razones para no usar cerraduras inteligentes<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/router-malware\/27267\/\" target=\"_blank\" rel=\"nofollow noopener\">Las amenazas secretas del malware en los r\u00fateres<\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Por qu\u00e9 los atacantes avanzados est\u00e1n interesados en los puntos de acceso Wi-Fi de tu hogar y c\u00f3mo mantienen el control sobre tus dispositivos.<\/p>\n","protected":false},"author":2722,"featured_media":31167,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[123,555,1829,913,3715,61,1296,612,912,52],"class_list":{"0":"post-31166","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-contrasenas","9":"tag-ddos","10":"tag-hogar-inteligente","11":"tag-iot","12":"tag-proxy","13":"tag-seguridad","14":"tag-sugerencias","15":"tag-tecnologia","16":"tag-wi-fi","17":"tag-wifi"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/save-your-home-router-from-apt-residential-proxy\/31166\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/save-your-home-router-from-apt-residential-proxy\/29145\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/save-your-home-router-from-apt-residential-proxy\/24341\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/save-your-home-router-from-apt-residential-proxy\/29185\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/save-your-home-router-from-apt-residential-proxy\/28331\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/save-your-home-router-from-apt-residential-proxy\/39859\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/save-your-home-router-from-apt-residential-proxy\/13569\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/save-your-home-router-from-apt-residential-proxy\/53840\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/save-your-home-router-from-apt-residential-proxy\/22983\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/save-your-home-router-from-apt-residential-proxy\/24012\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/save-your-home-router-from-apt-residential-proxy\/32438\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/save-your-home-router-from-apt-residential-proxy\/29260\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/save-your-home-router-from-apt-residential-proxy\/35117\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/save-your-home-router-from-apt-residential-proxy\/34756\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/wifi\/","name":"WiFi"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31166","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=31166"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31166\/revisions"}],"predecessor-version":[{"id":31168,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31166\/revisions\/31168"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/31167"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=31166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=31166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=31166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}