Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo

Router Comprometido 1
  • CISA atribuye la actividad a actores del FSB ruso

  • Los routers comprometidos ocultan el origen de las operaciones

  • Una mala configuración puede convertirlos en nodos de salida

Javier Marquez

Editor - Tech

El router suele quedarse fuera de nuestra atención: lo instalamos, comprobamos que hay conexión y dejamos que siga funcionando durante meses o años. Sin embargo, ese pequeño equipo que conecta una casa o una oficina con Internet también puede convertirse en una pieza útil para quienes buscan ocultar sus operaciones. El problema no está en lo que vemos, sino en lo que puede ocurrir en segundo plano cuando la configuración es débil o el firmware queda desactualizado. Y ahí empieza una historia que ya no afecta solo a especialistas en seguridad.

El escondite estaba en el router. Esa posibilidad dejó de ser una advertencia abstracta el 13 de julio de 2026. CISA, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos, alertó de que actores del Centro 16 del FSB, el servicio de seguridad ruso, siguen aprovechando dispositivos de red vulnerables o mal configurados en distintos países. Según el aviso, esa actividad ya ha permitido comprometer redes de varios sectores de infraestructuras críticas. La advertencia fue emitida conjuntamente con organismos de Australia, Dinamarca, Nueva Zelanda y Reino Unido.

Una identidad prestada. El objetivo no es quedarse en el router, sino utilizarlo como intermediario para otras operaciones. Cuando el tráfico pasa por un dispositivo instalado en una vivienda o una pequeña oficina, la conexión puede parecer la de cualquier usuario legítimo. Es lo que se conoce como proxy residencial: una conexión doméstica utilizada como intermediaria para ocultar desde dónde actúa realmente el atacante. Para las defensas de una organización, distinguir a primera vista entre una conexión normal y una actividad maliciosa resulta mucho más difícil.

El rastreo empieza en Internet. Para encontrar nuevos dispositivos, los atacantes recorren rangos de direcciones IP en busca de routers con agentes SNMP activos, un protocolo utilizado para consultar y administrar equipos conectados a una red. El riesgo aparece cuando ese servicio está expuesto y acepta credenciales comunes o las que venían configuradas de fábrica. En ese escenario, el equipo puede responder a alguien que no debería tener acceso. El primer paso consiste, por tanto, en localizar cuáles siguen anunciándose en Internet con una configuración débil.

De objetivo a herramienta. Encontrar un router expuesto no basta para controlarlo. Según CISA, los actores envían tráfico malicioso con direcciones IP de origen suplantadas y aprovechan el agente SNMP mal configurado para ejecutar malware en el dispositivo. Lo hacen, además, desde redes formadas por otros routers ya comprometidos, de modo que el sistema se alimenta a sí mismo. El proceso tiene tres fases: primero encuentran el equipo, después explotan su configuración y, finalmente, lo incorporan a la red desde la que seguirán buscando nuevos objetivos.

Suscríbete a Xtra

El ataque sale desde otra casa Una vez incorporado a ese entramado, el router empieza a actuar como nodo de salida, es decir, como el último punto visible antes de que el tráfico llegue al objetivo. Para quien recibe la conexión, la actividad no parece proceder de sistemas vinculados al FSB, sino de una dirección IP de apariencia legítima. Esa cobertura puede reducir las posibilidades de bloqueo automático y complica el trabajo de quienes intentan reconstruir la ruta hasta los responsables de la operación.

Una persecución que no termina: la utilidad de esta red de intermediarios se entiende mejor cuando observamos sus posibles destinos. CISA señala redes de comunicaciones, defensa, energía, servicios financieros y organismos públicos, todos ellos sectores donde una conexión aparentemente legítima puede facilitar sondeos o ataques posteriores. El fenómeno, además, no empezó con esta advertencia: Actores rusos y chinos llevan años disputándose y reutilizando routers comprometidos. Aunque gobiernos y compañías han logrado desinfectar dispositivos y desarticular botnets, sus operadores suelen reconstruirlas incorporando nuevos equipos.

Cerrar la puerta. CISA recomienda desactivar SNMP 1 y 2, versiones que no cifran las contraseñas ni incorporan protecciones actuales, y utilizar SNMP 3 únicamente cuando sea necesario. Si no empleamos este protocolo para administrar la red, la opción más segura es apagarlo por completo. El organismo también aconseja deshabilitar Cisco Smart Install, sustituir las credenciales débiles, instalar las actualizaciones de firmware y limitar otros protocolos de red innecesarios. El router puede pasar desapercibido durante años, pero eso no significa que debamos dejarlo funcionando sin mantenimiento.

Imágenes | Xataka con Nano Banana

En Xataka | Jordi Nebot, CEO de PaynoPain: "Suben alojamientos con fotografías robadas o hechas con IA y un precio llamativo"

Ver todos los comentarios en https://www.xataka.com

VER 0 Comentario