16
Jue, Jul

Routers Vulnerables: El Nuevo Escondite de Ciberatacantes Rusos para Operaciones Maliciosas

Tecnologia
La Agencia de Ciberseguridad de EE. UU. (CISA) ha alertado sobre la explotación de routers vulnerables por parte de actores del servicio de seguridad ruso (FSB). Estos dispositivos son utilizados como 'proxies residenciales' para ocultar la verdadera procedencia de ataques dirigidos a infraestructuras críticas. La advertencia subraya la importancia de mantener la seguridad de estos equipos, a menudo olvidados, para evitar que se conviertan en herramientas para operaciones ilícitas.

El router, un equipo que a menudo pasa desapercibido una vez instalado, puede convertirse en una herramienta valiosa para quienes buscan ocultar actividades en línea. El riesgo radica en configuraciones débiles o firmware desactualizado, lo que permite que el dispositivo sea comprometido y utilizado en segundo plano para operaciones maliciosas. Este problema ya no se limita a especialistas en seguridad, sino que afecta a cualquier usuario con un router vulnerable.

La posibilidad de que los routers sirvan como escondite dejó de ser una advertencia abstracta el 13 de julio de 2026. CISA, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos, alertó que actores del Centro 16 del FSB, el servicio de seguridad ruso, continúan aprovechando dispositivos de red vulnerables o mal configurados en diversos países. Según el aviso, esta actividad ya ha comprometido redes en varios sectores de infraestructuras críticas. La advertencia fue emitida conjuntamente con organismos de Australia, Dinamarca, Nueva Zelanda y Reino Unido.

El objetivo no es simplemente permanecer en el router, sino utilizarlo como intermediario para otras operaciones. Cuando el tráfico pasa por un dispositivo instalado en un hogar o una pequeña oficina, la conexión puede parecer la de cualquier usuario legítimo. Esto se conoce como proxy residencial: una conexión doméstica utilizada para ocultar la verdadera ubicación del atacante. Para las defensas de una organización, distinguir a primera vista entre una conexión normal y una actividad maliciosa resulta mucho más difícil.

Para encontrar nuevos dispositivos, los atacantes rastrean rangos de direcciones IP en busca de routers con agentes SNMP activos, un protocolo utilizado para consultar y administrar equipos conectados a una red. El riesgo surge cuando este servicio está expuesto y acepta credenciales comunes o las configuradas de fábrica. En este escenario, el equipo puede responder a alguien que no debería tener acceso. El primer paso consiste, por tanto, en localizar cuáles siguen anunciándose en Internet con una configuración débil.

Encontrar un router expuesto no es suficiente para controlarlo. Según CISA, los actores envían tráfico malicioso con direcciones IP de origen suplantadas y aprovechan el agente SNMP mal configurado para ejecutar malware en el dispositivo. Lo hacen, además, desde redes formadas por otros routers ya comprometidos, de modo que el sistema se retroalimenta. El proceso tiene tres fases: primero encuentran el equipo, después explotan su configuración y, finalmente, lo incorporan a la red desde la que seguirán buscando nuevos objetivos.

Una vez incorporado a este entramado, el router comienza a actuar como nodo de salida, es decir, como el último punto visible antes de que el tráfico llegue al objetivo. Para quien recibe la conexión, la actividad no parece proceder de sistemas vinculados al FSB, sino de una dirección IP de apariencia legítima. Esta cobertura puede reducir las posibilidades de bloqueo automático y complica el trabajo de quienes intentan reconstruir la ruta hasta los responsables de la operación.

La utilidad de esta red de intermediarios se entiende mejor al observar sus posibles destinos. CISA señala redes de comunicaciones, defensa, energía, servicios financieros y organismos públicos, todos ellos sectores donde una conexión aparentemente legítima puede facilitar sondeos o ataques posteriores. Este fenómeno no es nuevo: actores rusos y chinos llevan años disputándose y reutilizando routers comprometidos. Aunque gobiernos y compañías han logrado desinfectar dispositivos y desarticular botnets, sus operadores suelen reconstruirlas incorporando nuevos equipos.

CISA recomienda desactivar SNMP 1 y 2, versiones que no cifran las contraseñas ni incorporan protecciones actuales, y utilizar SNMP 3 únicamente cuando sea necesario. Si no se utiliza este protocolo para administrar la red, la opción más segura es apagarlo por completo. El organismo también aconseja deshabilitar Cisco Smart Install, sustituir las credenciales débiles, instalar las actualizaciones de firmware y limitar otros protocolos de red innecesarios. El router puede pasar desapercibido durante años, pero eso no significa que deba dejarse funcionando sin mantenimiento.