Tu router WiFi puede convertirse en un arma para los hackers sin que te des cuenta: así lo están aprovechando grupos vinculados a Rusia

Peligro en un router WiFi
Peligro en un router WiFiImagen generada con IA

Los ciberdelincuentes rusos buscan routers con servicios SNMP expuestos y protegidos con contraseñas básicas o configuradas de fábrica. El router puede utilizarse como proxy residencial.

La mayoría de las personas solo presta atención al router cuando el internet empieza a fallar. Y es que, mientras las páginas carguen y el WiFi llegue a todas las habitaciones, rara vez se revisa su configuración.

Cabe señalar que esta falta de mantenimiento está creando una oportunidad para grupos de espionaje, sobre todo para los ciberdelincuentes, que ven esto como una mina de oro para llevar a cabo sus atracos.

Por ello, la Agencia de Ciberseguridad e Infraestructuras de Estados Unidos, conocida como CISA, ha alertado de que hackers vinculados al Centro 16 del Servicio Federal de Seguridad ruso, el FSB, están aprovechando fallos en routers de varios países.

Es importante mencionar que su objetivo no siempre es atacar directamente al propietario del router, sino utilizar su enrutador como puente para preparar operaciones contra otras redes.

El router puede seguir funcionando con normalidad mientras los atacantes extraen información, ocultan su ubicación o lo emplean como punto de paso. Para el usuario no hay cortes ni cambios visibles que permitan detectar fácilmente lo que ocurre.

El ataque comienza buscando routers expuestos en Internet

Alerta ciberseguridad router WiFi D-Link
Alerta ciberseguridad router WiFi D-LinkComputer Hoy

Los responsables de esta campaña rastrean grandes cantidades de direcciones IP hasta localizar dispositivos que permiten conexiones de administración desde el exterior.

Se centran especialmente en routers con versiones antiguas de SNMP, un protocolo utilizado por empresas y administradores para consultar el estado de los equipos y modificar su configuración a distancia.

SNMPv1 y SNMPv2 pueden utilizar unas claves compartidas conocidas como community strings, pero el problema es que muchos dispositivos conservan valores predeterminados o contraseñas demasiado sencillas.

Es aquí donde los atacantes prueban esas credenciales de forma automática hasta encontrar un equipo que acepte sus órdenes.

También aprovechan vulnerabilidades antiguas sin corregir y funciones como Cisco Smart Install, diseñada para facilitar la instalación remota de dispositivos de red. Cuando estas herramientas permanecen activas y expuestas sin necesidad, pueden convertirse en una vía de entrada.

El propio router les entrega a los hackers un mapa de la red

Router WiFi
Router WiFiDepositphotos

Una vez dentro del dispositivo de red, los hackers pueden ordenar al router que copie su archivo de configuración y lo envíe a un servidor bajo su control mediante protocolos como TFTP.

Este documento puede contener direcciones internas, rutas, interfaces, cuentas locales, reglas de acceso, así como credenciales protegidas con sistemas antiguos.

Con estos datos consiguen entender cómo está organizada la red y qué otros equipos podrían resultar accesibles. Si recuperan contraseñas válidas, pueden probarlas en otros dispositivos, servicios de administración o redes relacionadas.

El router comprometido también puede utilizarse como intermediario, ya que en lugar de conectarse directamente desde una infraestructura vinculada a Rusia, los atacantes hacen pasar el tráfico por una conexión doméstica o empresarial legítima.

La siguiente víctima ve una dirección IP aparentemente normal, lo que dificulta reconocer el ataque, bloquearlo y determinar su verdadero origen.

Cabe señalar que el acceso no se limita al robo de configuraciones, debido a que los routers comprometidos pueden emplearse para rastrear nuevos objetivos y construir cadenas formadas por servidores, proxies y otros equipos secuestrados.

Esta infraestructura permite ocultar las operaciones y acercarse a sectores sensibles. De hecho, CISA señala riesgos para redes de telecomunicaciones, energía, defensa, servicios financieros, organismos públicos y centros sanitarios.

De esta manera, el propietario del primer router puede no ser el objetivo final, pero su conexión puede servir como trampolín hacia una organización de mayor interés.

Cómo impedir que el router se convierta en una herramienta de ataque

La principal medida es mantener actualizado el firmware del router y sustituir los modelos que ya no reciben soporte del fabricante. También deben cambiarse las credenciales de fábrica y utilizar una contraseña distinta a la clave del WiFi.

SNMP también debería apagarse si no se utiliza. En empresas que dependan de este protocolo, CISA recomienda abandonar las versiones 1 y 2, utilizar SNMPv3 con autenticación y cifrado, y limitar las conexiones a sistemas autorizados.

Las organizaciones también deben deshabilitar Cisco Smart Install si no lo necesitan, controlar las transferencias TFTP y revisar cualquier copia de configuración enviada a servidores externos.

Proteger un router no consiste únicamente en impedir que un vecino se conecte a la red. El dispositivo contiene funciones de administración y datos capaces de abrir el camino hacia sistemas mucho más importantes.

Más información sobre: