Errores, Noticias

Miles de routers de D-Link controlados por la red de bots AryStinger

por Pieter Arntz | 22 de junio de 2026
Red D-Link
Añadir como fuente preferida en Google

Los investigadores han descubierto que la red de bots AryStinger, descubierta recientemente, ha secuestrado de forma sigilosa miles de routers D-Link fuera de servicio y algunos dispositivos de almacenamiento conectados a la red (NAS), convirtiéndolos en una red distribuida de escaneo y proxy que los atacantes pueden utilizar para ocultar su actividad y lanzar ataques contra otros objetivos. 

Que tus dispositivos estén controlados por una red de bots no es solo un problema para las personas que son objeto de estos ataques. También puede poner en peligro tu propia privacidad y seguridad. 

La red de bots AryStinger se basa principalmente en routers D-Link DIR-850L y DIR-818LW que han sido comprometidos. Aunque estos dispositivos hace tiempo que han superado su ciclo de vida útil, siguen utilizándose ampliamente en hogares y pequeñas oficinas, lo que los convierte en objetivos atractivos para los operadores de redes de bots.

Los atacantes aprovecharon unas vulnerabilidades reveladas hace 13 años para comprometer un gran número de routers. Según los investigadores:

«Ya se han infectado al menos 4.300 routers en todo el mundo, y la cifra sigue aumentando sin cesar».

Al centrar sus ataques en routers que ya no cuentan con el soporte técnico del fabricante, los atacantes consiguen acceder a dispositivos que nunca recibirán parches de seguridad, pero que siguen conectados a Internet.

AryStinger convierte cada dispositivo infectado en lo que los investigadores denominan un «Executor»: un nodo controlado de forma remota que puede escanear redes, actuar como proxy, crear túneles y ejecutar comandos en nombre del atacante.

El controlador de la red de bots divide las tareas de reconocimiento de gran envergadura en muchas otras más pequeñas y las distribuye entre estos «Executors», convirtiendo así, de manera efectiva, una flota de routers domésticos en una plataforma de escaneo a gran escala.

El objetivo principal de la red de bots es llevar a cabo operaciones de reconocimiento a gran escala. El controlador puede:

  • Distribuir los trabajos de análisis (de rangos de IP, puertos abiertos y registros DNS) entre varios ejecutores de forma paralela.
  • Utiliza esos resultados para trazar mapas de redes, identificar nuevos servicios vulnerables y preparar nuevos ataques («footprinting»).

Para los propietarios de dispositivos infectados, una característica aún más preocupante es la capacidad de AryStinger para manipular la configuración del DNS. Esto permite a los atacantes:

  • Redirigir el tráfico del navegador de las víctimas a páginas de phishing o a sitios web que alojan malware.
  • Supervisar de forma silenciosa y, potencialmente, interceptar todo el tráfico de red entrante y saliente que pasa por el router o el NAS.

Esto puede poner en peligro dispositivos que, de otro modo, estarían bien protegidos. Los teléfonos móviles, las tabletas y los ordenadores portátiles conectados al router afectado también pueden verse redirigidos.

Cómo saber si te ves afectado

Para los propietarios de un router o un NAS afectado, los signos inmediatos pueden ser sutiles o incluso inexistentes. Algunos posibles indicadores podrían ser:

  • Conexión ligeramente más lenta
  • Fallos o redireccionamientos ocasionales e inexplicables del DNS
  • Picos de tráfico saliente a horas intempestivas

Pero los riesgos subyacentes son lo suficientemente graves:

  • Privacy:Es posible que los atacantes puedan inspeccionar o redirigir tu tráfico, lo que podría permitirles capturar nombres de usuario, contraseñas, cookies de sesión u otros datos confidenciales.
  • Responsabilidad y reputación:Tu dirección IP podría utilizarse para cometer fraudes, ataques de «credential stuffing», acoso u otras actividades delictivas, lo que podría llamar la atención de los proveedores de servicios o de las fuerzas del orden —algo que ya se ha observado en otras redes de bots proxy—.
  • Acceso a tu red:sobre todo en dispositivos NAS comprometidos, los atacantes podrían llegar a trazar un mapa de las redes internas y buscar otros sistemas a los que atacar.

Qué hacer

No es la primera vez que los atacantes crean una red de bots a partir de equipos de red abandonados. Por desgracia, la solución más eficaz es también la menos popular: sustituir los routers y los dispositivos NAS que han llegado al final de su vida útil.

Si eso no es una opción inmediata, hay algunas medidas que puedes tomar para que tu dispositivo sea más difícil de piratear:

  • Instala la última versión de firmwaredisponible para tu dispositivo, aunque sea antiguo, y consulta los avisos de seguridad del fabricante sobre vulnerabilidades conocidas.
  • Cambia la contraseña predeterminada de administradorpor una contraseña o frase de contraseña única y segura; nunca reutilices contraseñas de otras cuentas.
  • Desactiva la gestión remotadesde Internet (WAN). Accede a la interfaz de administración únicamente desde dentro de la red de tu casa u oficina.
  • Utilizael cifrado inalámbrico WPA2 o WPA3y una contraseña de Wi-Fi segura para reducir el riesgo de uso indebido en la red local.
  • Si tu router lo permite,desactiva los servicios que no utilices, como el UPnP en el lado WAN o los protocolos de acceso remoto obsoletos.
  • Ejecuta un análisis antimalware en los ordenadores y demás dispositivos conectados al router para comprobar si alguno de ellos se infectó por separado mientras se manipulaba el tráfico.

Aunque apliques todas estas recomendaciones, un router al final de su vida útil debe considerarse poco fiable. Planifica su sustitución lo antes posible.

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Estafas
Aviso del buzón de voz

Estafas relacionadas con la entrega de documentos: ¿en qué consisten y cuál es su objetivo?

Junio 22, 2026

Un mensaje de voz que parecía oficial resultó ser una estafa. Descubre cómo funcionan las estafas relacionadas con la entrega de documentos y qué hacer si recibes una.

Noticias
semana de la seguridad

Una semana en el ámbito de la seguridad (del 15 al 21 de junio)

Junio 22, 2026

Lista de temas que tratamos durante la semana del 15 al 21 de junio de 2026

Noticias
Detención a distancia SocGolish

Se han limpiado casi 15 000 sitios web infectados en la campaña contra SocGholish

Junio 19, 2026

Se han limpiado miles de páginas web de uso cotidiano en el marco de una operación a escala mundial dirigida contra la red de malware responsable de las estafas relacionadas con falsas actualizaciones de navegadores.

Añadir como fuente preferida en Google

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas