Jueves, 16 de julio de 2026 Jue 16/07/2026
RSS Contacto
MERCADOS
Cargando datos de mercados...
Tecnología

Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo

Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo
Artículo Completo 879 palabras
El router suele quedarse fuera de nuestra atención: lo instalamos, comprobamos que hay conexión y dejamos que siga funcionando durante meses o años. Sin embargo, ese pequeño equipo que conecta una casa o una oficina con Internet también puede convertirse en una pieza útil para quienes buscan ocultar sus operaciones. El problema no está en lo que vemos, sino en lo que puede ocurrir en segundo plano cuando la configuración es débil o el firmware queda desactualizado. Y ahí empieza una historia que ya no afecta solo a especialistas en seguridad. El escondite estaba en el router. Esa posibilidad dejó de ser una advertencia abstracta el 13 de julio de 2026. CISA, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos, alertó de que actores del Centro 16 del FSB, el servicio de seguridad ruso, siguen aprovechando dispositivos de red vulnerables o mal configurados en distintos países. Según el aviso, esa actividad ya ha permitido comprometer redes de varios sectores de infraestructuras críticas. La advertencia fue emitida conjuntamente con organismos de Australia, Dinamarca, Nueva Zelanda y Reino Unido. Una identidad prestada. El objetivo no es quedarse en el router, sino utilizarlo como intermediario para otras operaciones. Cuando el tráfico pasa por un dispositivo instalado en una vivienda o una pequeña oficina, la conexión puede parecer la de cualquier usuario legítimo. Es lo que se conoce como proxy residencial: una conexión doméstica utilizada como intermediaria para ocultar desde dónde actúa realmente el atacante. Para las defensas de una organización, distinguir a primera vista entre una conexión normal y una actividad maliciosa resulta mucho más difícil. El rastreo empieza en Internet. Para encontrar nuevos dispositivos, los atacantes recorren rangos de direcciones IP en busca de routers con agentes SNMP activos, un protocolo utilizado para consultar y administrar equipos conectados a una red. El riesgo aparece cuando ese servicio está expuesto y acepta credenciales comunes o las que venían configuradas de fábrica. En ese escenario, el equipo puede responder a alguien que no debería tener acceso. El primer paso consiste, por tanto, en localizar cuáles siguen anunciándose en Internet con una configuración débil. De objetivo a herramienta. Encontrar un router expuesto no basta para controlarlo. Según CISA, los actores envían tráfico malicioso con direcciones IP de origen suplantadas y aprovechan el agente SNMP mal configurado para ejecutar malware en el dispositivo. Lo hacen, además, desde redes formadas por otros routers ya comprometidos, de modo que el sistema se alimenta a sí mismo. El proceso tiene tres fases: primero encuentran el equipo, después explotan su configuración y, finalmente, lo incorporan a la red desde la que seguirán buscando nuevos objetivos. En Xataka Meta, Google y Microsoft podrán seguir rastreando tus mensajes hasta 2028. A pesar de que la mayoría del Parlamento Europeo votó en contra  El ataque sale desde otra casa Una vez incorporado a ese entramado, el router empieza a actuar como nodo de salida, es decir, como el último punto visible antes de que el tráfico llegue al objetivo. Para quien recibe la conexión, la actividad no parece proceder de sistemas vinculados al FSB, sino de una dirección IP de apariencia legítima. Esa cobertura puede reducir las posibilidades de bloqueo automático y complica el trabajo de quienes intentan reconstruir la ruta hasta los responsables de la operación. Una persecución que no termina: la utilidad de esta red de intermediarios se entiende mejor cuando observamos sus posibles destinos. CISA señala redes de comunicaciones, defensa, energía, servicios financieros y organismos públicos, todos ellos sectores donde una conexión aparentemente legítima puede facilitar sondeos o ataques posteriores. El fenómeno, además, no empezó con esta advertencia: Actores rusos y chinos llevan años disputándose y reutilizando routers comprometidos. Aunque gobiernos y compañías han logrado desinfectar dispositivos y desarticular botnets, sus operadores suelen reconstruirlas incorporando nuevos equipos. Cerrar la puerta. CISA recomienda desactivar SNMP 1 y 2, versiones que no cifran las contraseñas ni incorporan protecciones actuales, y utilizar SNMP 3 únicamente cuando sea necesario. Si no empleamos este protocolo para administrar la red, la opción más segura es apagarlo por completo. El organismo también aconseja deshabilitar Cisco Smart Install, sustituir las credenciales débiles, instalar las actualizaciones de firmware y limitar otros protocolos de red innecesarios. El router puede pasar desapercibido durante años, pero eso no significa que debamos dejarlo funcionando sin mantenimiento. Imágenes | Xataka con Nano Banana En Xataka | Jordi Nebot, CEO de PaynoPain: "Suben alojamientos con fotografías robadas o hechas con IA y un precio llamativo" - La noticia Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo fue publicada originalmente en Xataka por Javier Marquez .
Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo
  • CISA atribuye la actividad a actores del FSB ruso

  • Los routers comprometidos ocultan el origen de las operaciones

  • Una mala configuración puede convertirlos en nodos de salida

Sin comentariosFacebookTwitterFlipboardE-mail 2026-07-16T19:01:55Z

Javier Marquez

Editor - Tech

Javier Marquez

Editor - Tech Linkedintwitter3477 publicaciones de Javier Marquez

El router suele quedarse fuera de nuestra atención: lo instalamos, comprobamos que hay conexión y dejamos que siga funcionando durante meses o años. Sin embargo, ese pequeño equipo que conecta una casa o una oficina con Internet también puede convertirse en una pieza útil para quienes buscan ocultar sus operaciones. El problema no está en lo que vemos, sino en lo que puede ocurrir en segundo plano cuando la configuración es débil o el firmware queda desactualizado. Y ahí empieza una historia que ya no afecta solo a especialistas en seguridad.

El escondite estaba en el router. Esa posibilidad dejó de ser una advertencia abstracta el 13 de julio de 2026. CISA, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos, alertó de que actores del Centro 16 del FSB, el servicio de seguridad ruso, siguen aprovechando dispositivos de red vulnerables o mal configurados en distintos países. Según el aviso, esa actividad ya ha permitido comprometer redes de varios sectores de infraestructuras críticas. La advertencia fue emitida conjuntamente con organismos de Australia, Dinamarca, Nueva Zelanda y Reino Unido.

Una identidad prestada. El objetivo no es quedarse en el router, sino utilizarlo como intermediario para otras operaciones. Cuando el tráfico pasa por un dispositivo instalado en una vivienda o una pequeña oficina, la conexión puede parecer la de cualquier usuario legítimo. Es lo que se conoce como proxy residencial: una conexión doméstica utilizada como intermediaria para ocultar desde dónde actúa realmente el atacante. Para las defensas de una organización, distinguir a primera vista entre una conexión normal y una actividad maliciosa resulta mucho más difícil.

El rastreo empieza en Internet. Para encontrar nuevos dispositivos, los atacantes recorren rangos de direcciones IP en busca de routers con agentes SNMP activos, un protocolo utilizado para consultar y administrar equipos conectados a una red. El riesgo aparece cuando ese servicio está expuesto y acepta credenciales comunes o las que venían configuradas de fábrica. En ese escenario, el equipo puede responder a alguien que no debería tener acceso. El primer paso consiste, por tanto, en localizar cuáles siguen anunciándose en Internet con una configuración débil.

De objetivo a herramienta. Encontrar un router expuesto no basta para controlarlo. Según CISA, los actores envían tráfico malicioso con direcciones IP de origen suplantadas y aprovechan el agente SNMP mal configurado para ejecutar malware en el dispositivo. Lo hacen, además, desde redes formadas por otros routers ya comprometidos, de modo que el sistema se alimenta a sí mismo. El proceso tiene tres fases: primero encuentran el equipo, después explotan su configuración y, finalmente, lo incorporan a la red desde la que seguirán buscando nuevos objetivos.

🚨 SORTEO ACTIVO EN XATAKA XTRA Gana este Huawei Watch Fit 5 Suscríbete por solo 2€/mes y entra en el sorteo En XatakaMeta, Google y Microsoft podrán seguir rastreando tus mensajes hasta 2028. A pesar de que la mayoría del Parlamento Europeo votó en contra 

El ataque sale desde otra casa Una vez incorporado a ese entramado, el router empieza a actuar como nodo de salida, es decir, como el último punto visible antes de que el tráfico llegue al objetivo. Para quien recibe la conexión, la actividad no parece proceder de sistemas vinculados al FSB, sino de una dirección IP de apariencia legítima. Esa cobertura puede reducir las posibilidades de bloqueo automático y complica el trabajo de quienes intentan reconstruir la ruta hasta los responsables de la operación.

Una persecución que no termina: la utilidad de esta red de intermediarios se entiende mejor cuando observamos sus posibles destinos. CISA señala redes de comunicaciones, defensa, energía, servicios financieros y organismos públicos, todos ellos sectores donde una conexión aparentemente legítima puede facilitar sondeos o ataques posteriores. El fenómeno, además, no empezó con esta advertencia: Actores rusos y chinos llevan años disputándose y reutilizando routers comprometidos. Aunque gobiernos y compañías han logrado desinfectar dispositivos y desarticular botnets, sus operadores suelen reconstruirlas incorporando nuevos equipos.

Cerrar la puerta. CISA recomienda desactivar SNMP 1 y 2, versiones que no cifran las contraseñas ni incorporan protecciones actuales, y utilizar SNMP 3 únicamente cuando sea necesario. Si no empleamos este protocolo para administrar la red, la opción más segura es apagarlo por completo. El organismo también aconseja deshabilitar Cisco Smart Install, sustituir las credenciales débiles, instalar las actualizaciones de firmware y limitar otros protocolos de red innecesarios. El router puede pasar desapercibido durante años, pero eso no significa que debamos dejarlo funcionando sin mantenimiento.

Imágenes | Xataka con Nano Banana

En Xataka | Jordi Nebot, CEO de PaynoPain: "Suben alojamientos con fotografías robadas o hechas con IA y un precio llamativo"

Fuente original: Leer en Xataka
Compartir