Saltar al contenido
OndaCorta

CISA vincula al FSB ruso con ataques vía routers mal configurados

Una alerta conjunta de agencias de Estados Unidos, Reino Unido, Australia, Dinamarca y Nueva Zelanda detalla cómo un grupo del servicio de inteligencia ruso toma el control de routers vulnerables para ocultar ataques contra infraestructura crítica.

Redacción Onda Corta · · 2 min de lectura

La Agencia de Ciberseguridad y de Infraestructura de Estados Unidos (CISA) reveló el lunes 13 de julio de 2026 que un grupo vinculado al Centro 16 del Servicio Federal de Seguridad de Rusia (FSB) toma el control de routers y otros equipos de red con configuraciones débiles en distintos países para disimular el origen de sus ataques. El aviso, publicado junto con las agencias equivalentes de Australia, Dinamarca, Nueva Zelanda y Reino Unido, sostiene que esta técnica ya permitió el ingreso a redes de varios sectores considerados infraestructura crítica.

El método no busca dañar el router en sí, sino usarlo como intermediario. Al desviar el tráfico a través de un equipo instalado en un hogar o una pequeña oficina, la conexión que llega al objetivo final aparenta provenir de un usuario cualquiera y no de un servicio de inteligencia extranjero. Este esquema, conocido en el sector como proxy residencial, dificulta que los equipos de seguridad distingan entre tráfico legítimo y una intrusión en curso, porque la dirección IP de origen no levanta sospechas por sí sola.

Cómo eligen sus objetivos

Según CISA, los atacantes escanean rangos completos de direcciones IP en busca de dispositivos con el protocolo SNMP (Simple Network Management Protocol) activo, una herramienta pensada para administrar equipos de red de forma remota. El problema surge cuando ese servicio queda accesible desde internet y todavía acepta las contraseñas de fábrica o combinaciones básicas. Con ese acceso, el grupo ejecuta código malicioso en el dispositivo y lo suma a una red de routers ya tomados, que a su vez sirve para rastrear y comprometer nuevos equipos. El aviso describe el proceso en tres etapas: localizar el dispositivo expuesto, explotar su configuración y anexarlo a la infraestructura de la operación. Además, los atacantes falsifican direcciones IP de origen para complicar el rastreo cuando envían el tráfico malicioso inicial.

Una vez incorporado, cada router funciona como el último salto visible antes de que el tráfico llegue a su destino real. CISA señala que los sectores alcanzados incluyen telecomunicaciones, defensa, energía, servicios financieros y organismos gubernamentales, ámbitos donde una conexión que parece rutinaria puede facilitar el reconocimiento previo a un ataque mayor.

Un problema que se repite

El uso de routers domésticos y de oficina como pantalla no es nuevo: agencias occidentales vienen reportando desde hace años que grupos vinculados a Rusia y a China compiten por el control de estos dispositivos y los reutilizan incluso después de operativos de desinfección. Cuando una de estas redes de equipos comprometidos es desarticulada, sus operadores suelen reconstruirla incorporando equipos nuevos mediante el mismo rastreo automatizado.

Frente a esto, CISA recomienda desactivar las versiones 1 y 2 de SNMP, que transmiten las credenciales sin cifrar, y limitar el uso de la versión 3 solo a los casos en que sea imprescindible administrar el equipo de forma remota; si no se necesita SNMP, la recomendación directa es apagarlo. El organismo también pide deshabilitar la función Cisco Smart Install cuando no esté en uso, reemplazar cualquier contraseña por defecto o débil, mantener el firmware actualizado y cerrar los protocolos de administración que no sean estrictamente necesarios.

Fuentes

  1. Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo (www.xataka.com)

Este artículo fue elaborado por el sistema editorial automatizado de Onda Corta a partir de las fuentes citadas, con supervisión humana del proceso. ¿Encontraste un error? Reportalo.

Seguí leyendo

El boletín de Onda Corta

Lo más importante de la semana en tecnología, sin ruido. Todos los domingos a la mañana en tu correo.