Noticias

Un grupo de hackers ruso ataca routers domésticos y de pequeñas oficinas para espiar a los usuarios

por Pieter Arntz | 8 de abril de 2026
panel frontal de un router

Las autoridades de seguridad británicas han descubierto que un grupo vinculado al ejército ruso está espiando a los usuarios de routers SOHO (Small Office/Home Office) comprometidos, en el marco de una amplia campaña de ciberespionaje. Un blog de Microsoft profundiza en los detalles técnicos de estos ataques.

El grupo, al que nos referiremos como APT28, aunque también se le conoce con nombres como Fancy Bear, BlueDelta y Forest Blizzard, modifica la configuración DNS de los routers comprometidos para que su tráfico se redirija a servidores bajo su control, lo que permite a APT28 espiar a los usuarios.

El sistema de nombres de dominio (DNS) es el mecanismo que permite localizar los nombres de dominio de Internet y traducirlos a direcciones de Protocolo de Internet (IP). Los dispositivos suelen obtener la configuración de red de los routers mediante el Protocolo de configuración dinámica de host (DHCP).

Si un atacante logra manipular la configuración DNS del router, puede desviar el tráfico de forma silenciosa a través de una infraestructura que controle, recopilar datos de inicio de sesión y, en algunos casos, interponerse entre el usuario y el servicio real. Por eso, esta campaña puede facilitar el robo de credenciales e incluso la interceptación selectiva del tráfico de Microsoft 365 y de otros servicios en la nube.

Un comunicado de servicio público del FBI afirma que APT28:

«…ha recopilado contraseñas, tokens de autenticación e información confidencial, como correos electrónicos e información de navegación web, que normalmente están protegidos mediante el cifrado SSL (Secure Socket Layer) y TLS (Transport Layer Security).»

Según el FBI, el grupo extendió una amplia red por todo Estados Unidos y a nivel mundial, antes de reducir sus víctimas a aquellas personas con acceso a información relacionada con el ejército, el Gobierno y las infraestructuras críticas.

El aviso del NCSC señala un modelo concreto de TP-Link (WR841N) que presenta una vulnerabilidad conocida que permite a un atacante no autenticado obtener información, como nombres de usuario y contraseñas, mediante solicitudes HTTP GET especialmente diseñadas. Este modelo de router se comercializa ampliamente entre consumidores y pequeñas empresas, y no suele ser utilizado como equipo estándar por los principales proveedores de servicios de Internet. El artículo incluye también una lista extensa, aunque no exhaustiva, de otros modelos de routers TP-Link que han sido blanco de APT28.

Microsoft Threat Intelligence afirma haber identificado más de 200 organizaciones y 5.000 dispositivos de consumidores afectados por la infraestructura DNS maliciosa de Forest Blizzard.

El debate sobre la prohibición de los routers

Hace unas semanas, comentamos la decisión de la FCC de impedir, en la práctica, la importación de routers fabricados en el extranjero, a menos que sus fabricantes obtengan una exención, debido a lo quela FCC calificó comoun «riesgo inaceptable para la seguridad nacional de los Estados Unidos o para la seguridad de los ciudadanos estadounidenses».

Las acciones de APT28 ponen de manifiesto el tipo de riesgo que la FCC está tratando de frenar, pero también refuerzan nuestro argumento: aunque el debate sobre la prohibición de routers y las restricciones en la cadena de suministro suele centrarse en el origen nacional, la cuestión más importante es si los dispositivos son seguros en la práctica. Si un router se comercializa con configuraciones predeterminadas débiles, un soporte de actualizaciones deficiente o un proceso de configuración confuso, se convierte en un objetivo independientemente de dónde se haya fabricado. Los atacantes no necesitan la perfección. Solo necesitan suficientes dispositivos expuestos para construir una infraestructura grande y silenciosa dedicada al espionaje y la redirección.

Qué puedes hacer

Para comprobar si tu configuración es correcta, solo podemos darte indicaciones generales, ya que a veces depende mucho del dispositivo concreto. Pero este método suele funcionar:

Cómo comprobar que la configuración DHCP de tu router se ajusta a lo que establece tu proveedor de servicios de Internet:

  1. Comprueba la información actual de DHCP de un dispositivo.
    En un ordenador o un teléfono conectado a tu red doméstica, abre los detalles de la red y anota la dirección IP, la máscara de subred, la puerta de enlace predeterminada y los servidores DNS que utiliza tu dispositivo.
  2. Inicia sesión en tu router y busca la configuración de WAN/Internet.
    En la interfaz web del router, consulta la página «Estado» o «Internet» para ver qué dirección ha recibido del proveedor de servicios de Internet y qué servidores DNS está configurado para utilizar.
  3. Compáralo con lo que indica la documentación de tu proveedor de servicios de Internet (ISP) o con lo que te haya indicado.
    Consulta las páginas de asistencia de tu ISP o ponte en contacto con el servicio de asistencia para confirmar cuáles son sus especificaciones: si tu conexión debe utilizar DHCP o PPPoE, de qué rango debe proceder tu dirección IP pública y qué servidores DNS suelen proporcionar. Las discrepancias importantes (por ejemplo, servidores DNS ubicados en otro país o pertenecientes a una organización desconocida) son motivo para investigar más a fondo.
  4. Si utilizas un DNS personalizado, anótalo.
    Si utilizas deliberadamente un DNS alternativo (por ejemplo, un servidor de resolución que proteja tu privacidad o seguridad), anótalo y comprueba periódicamente que tu router y tus dispositivos siguen utilizando las direcciones que has elegido.

Otras medidas

Si te lo puedes permitir y aún no lo has hecho, actualiza aWi-Fi 7para que tu equipo esté preparado para el futuro mientras los modelos actuales sigan disponibles en las tiendas.

Como mínimo, deberías:

  • Cambia los nombres de usuario y contraseñas predeterminados de tu router por otros que sean más difíciles de adivinar.
  • Consulte el sitio web del fabricante para ver si hay actualizaciones, confirme la fecha de fin de vida útil y actualice al firmware más reciente.
  • Desactive las interfaces de gestión remota desde Internet siempre que sea posible.
  • Todos los usuarios deben prestar mucha atención a las advertencias sobre certificados que aparecen en los navegadores web y los clientes de correo electrónico, ya que indican que hay algún problema con la conexión segura y podrían significar que no se está conectando con el sitio web auténtico.

Para los usuarios con conocimientos técnicos, sustituir el firmware del fabricante por alternativas de código abierto comoOpenWrtoDD-WRTpuede prolongar la vida útil segura del router. Sin embargo, esto conlleva riesgos, como la anulación de la garantía o la posibilidad de que el dispositivo quede inutilizable. Solo deberías hacerlo, o encargar que lo hagan, si te sientes cómodo resolviendo problemas técnicos.

Si un ciudadano estadounidense sospecha que ha sido objeto de una ciberintrusión rusa o que su seguridad se ha visto comprometida, se le pide que denuncie la actividad enla oficina local del FBIo que presente una denuncia ante elIC3. Asegúrese de proporcionar detalles sobre el router afectado, incluyendo el tipo de dispositivo y las configuraciones DHCP.

Navega como si nadie te estuviera mirando. 

Malwarebytes Privacy VPN tu conexión y nunca registra lo que haces, así que la próxima noticia que leas no tiene por qué parecerte algo personal.Pruébalo gratis → 

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Noticias
Logotipo de JDownloader

Los atacantes sustituyeron las descargas del instalador de JDownloader por malware

Mayo 15, 2026

El sitio web de JDownloader fue objeto de un ataque y los enlaces de descarga del instalador distribuyeron malware durante varios días.

AI
Instagram entre WhatsApp e Instagram

El nuevo y confuso enfoque de Meta sobre la privacidad en los chats

Mayo 15, 2026

WhatsApp ofrece ahora chats con IA que desaparecen, y Meta afirma que no puede leerlos. Mientras tanto, Instagram eliminar la función que impedía a Meta leer tus mensajes.

Privacidad
Logotipo de Yahoo Mail

¿Por qué Malwarebytes algunos redireccionamientos de Yahoo Mail?

Mayo 14, 2026

Es posible que algunos usuarios de Yahoo Mail reciban Malwarebytes repetidas Malwarebytes debido a conexiones en segundo plano con dominios de terceros sospechosos. A continuación te explicamos por qué.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas