{"id":28331,"date":"2025-08-01T23:02:27","date_gmt":"2025-08-02T05:02:27","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28331"},"modified":"2025-08-10T22:25:10","modified_gmt":"2025-08-11T04:25:10","slug":"save-your-home-router-from-apt-residential-proxy","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/save-your-home-router-from-apt-residential-proxy\/28331\/","title":{"rendered":"\u00bfTu enrutador trabaja en secreto para la inteligencia extranjera?"},"content":{"rendered":"<p>La reciente <a href=\"https:\/\/www.greynoise.io\/blog\/stealthy-backdoor-campaign-affecting-asus-routers\" target=\"_blank\" rel=\"noopener nofollow\">filtraci\u00f3n de miles de enrutadores dom\u00e9sticos de ASUS<\/a> demuestra que el punto de acceso Wi-Fi de tu hogar no solo es \u00fatil para ti (y posiblemente <a href=\"https:\/\/latam.kaspersky.com\/blog\/how-to-protect-wifi-from-neighbors\/21345\/\" target=\"_blank\" rel=\"noopener\">tus vecinos<\/a>), sino que tambi\u00e9n es codiciado por los ciberdelincuentes e incluso los piratas inform\u00e1ticos patrocinados por el estado que realizan ataques dirigidos de espionaje. Este nuevo ataque, presuntamente relacionado con el infame grupo APT31, a\u00fan est\u00e1 en curso. Lo que lo hace especialmente peligroso es su naturaleza sigilosa y el enfoque poco convencional requerido para defenderse. Por eso es crucial comprender por qu\u00e9 los actores maliciosos atacan a los enrutadores y c\u00f3mo protegerse de estos trucos de los piratas inform\u00e1ticos.<\/p>\n<h2>C\u00f3mo se aprovechan los enrutadores vulnerados<\/h2>\n<ul>\n<li><strong>Proxy residencial.<\/strong> Cuando los piratas inform\u00e1ticos atacan a grandes empresas o agencias gubernamentales, los ataques suelen detectarse por direcciones IP inusuales que intentan acceder a la red segura. Es muy sospechoso que una empresa opere en un pa\u00eds, pero que un empleado se conecte de repente a la red corporativa desde otro. Los inicios de sesi\u00f3n desde direcciones de servidor VPN conocidas son igualmente sospechosos. Para enmascarar sus actividades, los ciberdelincuentes utilizan enrutadores vulnerados ubicados en el pa\u00eds, y <a href=\"https:\/\/www.kaspersky.com\/blog\/residential-proxies-risks-and-mitigation\/50991\/\" target=\"_blank\" rel=\"noopener nofollow\">a veces incluso en la ciudad espec\u00edfica, cerca de su objetivo previsto<\/a>. Canalizan todas sus solicitudes a trav\u00e9s de su enrutador, que luego reenv\u00eda los datos al ordenador de destino. Para los sistemas de supervisi\u00f3n, esto se parece a un empleado normal que accede a los recursos del trabajo desde casa, nada que llame la atenci\u00f3n.<\/li>\n<li><strong>Servidor de comando y control.<\/strong> Los atacantes pueden alojar malware en el dispositivo vulnerado para que los equipos de destino lo descarguen. O, por el contrario, pueden filtrar datos de la red directamente a su enrutador.<\/li>\n<li><strong>Se\u00f1uelos para la competencia.<\/strong> Se puede utilizar un enrutador como se\u00f1uelo para estudiar las t\u00e9cnicas utilizadas por otros grupos de piratas inform\u00e1ticos.<\/li>\n<li><strong>Plataforma de miner\u00eda.<\/strong> Cualquier dispositivo inform\u00e1tico se puede utilizar para la criptominer\u00eda. Utilizar un enrutador para la miner\u00eda no es particularmente eficiente, pero cuando un ciberdelincuente no paga por la electricidad o el equipo, a\u00fan le resulta rentable.<\/li>\n<li><strong>Herramienta de manipulaci\u00f3n de tr\u00e1fico. <\/strong>Un enrutador vulnerado puede interceptar y alterar el contenido de las conexiones a Internet. Esto permite a los atacantes dirigirse a cualquier dispositivo conectado a la red dom\u00e9stica. La gama de aplicaciones de esta t\u00e9cnica es amplia: <a href=\"https:\/\/latam.kaspersky.com\/blog\/router-malware\/24904\/\" target=\"_blank\" rel=\"noopener\">desde el robo de contrase\u00f1as hasta la inyecci\u00f3n de anuncios en p\u00e1ginas web<\/a>.<\/li>\n<li><strong>Bot de DDoS.<\/strong> Cualquier dispositivo dom\u00e9stico, incluidos los enrutadores, monitores para beb\u00e9s, parlantes inteligentes e incluso las pavas inteligentes, puede enlazarse en una botnet y usarse para saturar cualquier servicio en l\u00ednea con millones de solicitudes simult\u00e1neas desde esos dispositivos.<\/li>\n<\/ul>\n<p>Estas opciones atraen a varios grupos de atacantes. Si bien los ataques de miner\u00eda, inyecci\u00f3n de anuncios y DDoS suelen ser de inter\u00e9s para los ciberdelincuentes con motivaciones financieras, los ataques dirigidos lanzados desde detr\u00e1s de una direcci\u00f3n IP residencial suelen ser llevados a cabo por bandas de ransomware o por grupos dedicados al espionaje genuino. Esto parece sacado de una novela de esp\u00edas, pero est\u00e1 tan extendido que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (<a href=\"https:\/\/www.cisa.gov\/sites\/default\/files\/2024-01\/SbD-Alert-Security-Design-Improvements-for-SOHO-Device-Manufacturers.pdf\" target=\"_blank\" rel=\"noopener nofollow\">CISA)<\/a> de los EE.\u00a0UU. y el <a href=\"https:\/\/www.ic3.gov\/PSA\/2025\/PSA250507\" target=\"_blank\" rel=\"noopener nofollow\">FBI<\/a> han emitido varias advertencias al respecto en distintos momentos. Fieles a su estilo, los esp\u00edas operan con el mayor sigilo, por lo que los propietarios de los enrutadores rara vez notan que su dispositivo se est\u00e1 utilizando para m\u00e1s fines de los previstos.<\/p>\n<h2>C\u00f3mo se piratean los enrutadores<\/h2>\n<p>Las dos formas m\u00e1s comunes de piratear un enrutador son forzar la contrase\u00f1a a su interfaz de administraci\u00f3n y aprovechar las vulnerabilidades del software en su firmware. En el primer escenario, los atacantes se aprovechan de que los propietarios dejan el enrutador con su configuraci\u00f3n de f\u00e1brica y la contrase\u00f1a predeterminada <strong>admin<\/strong>, o han cambiado la contrase\u00f1a por algo simple de recordar, y f\u00e1cil de adivinar, como <strong>123456<\/strong>. Una vez que descifran la contrase\u00f1a, los atacantes pueden iniciar sesi\u00f3n en el panel de control como lo har\u00eda el propietario.<\/p>\n<p>En el segundo escenario, los atacantes examinan remotamente el enrutador para identificar su fabricante y modelo, luego prueban las vulnerabilidades conocidas una por una para tomar el control del dispositivo.<\/p>\n<p>Por lo general, despu\u00e9s de un ataque exitoso, instalan malware oculto en el enrutador para realizar las funciones deseadas. Puedes darte cuenta de que algo va mal cuando Internet se ralentiza, la CPU del enrutador trabaja m\u00e1s de la cuenta o <a href=\"https:\/\/latam.kaspersky.com\/blog\/router-malware\/24904\/\" target=\"_blank\" rel=\"noopener\">incluso el propio enrutador empieza a sobrecalentarse<\/a>. Un restablecimiento de f\u00e1brica o una actualizaci\u00f3n de firmware generalmente elimina la amenaza. Sin embargo, los recientes ataques a los enrutadores de ASUS fueron una historia diferente.<\/p>\n<h2>Qu\u00e9 hace que los ataques de ASUS sean diferentes y c\u00f3mo detectarlos<\/h2>\n<p>Lo principal de este ataque es que no puedes solucionarlo con una sencilla actualizaci\u00f3n de firmware. Los atacantes establecen una puerta trasera oculta con acceso administrativo que persiste a trav\u00e9s de reinicios regulares y actualizaciones de firmware.<\/p>\n<p>Para iniciar el ataque, el actor malicioso emplea las dos t\u00e9cnicas descritas anteriormente. Si falla el ataque de fuerza bruta a la contrase\u00f1a, los atacantes aprovechan dos vulnerabilidades para evitar la autenticaci\u00f3n por completo.<\/p>\n<p>A partir de este momento, el ataque se vuelve m\u00e1s sofisticado. Los atacantes utilizan otra vulnerabilidad para activar la funci\u00f3n de administraci\u00f3n remota SSH incorporada en el enrutador. Luego, a\u00f1aden su propia clave criptogr\u00e1fica a la configuraci\u00f3n, lo que les permite conectarse al dispositivo y controlarlo.<\/p>\n<p>Pocos usuarios dom\u00e9sticos administran su enrutador usando SSH o revisan la secci\u00f3n de configuraci\u00f3n donde se enumeran las claves administrativas, por lo que esta t\u00e9cnica de acceso puede pasar desapercibida durante a\u00f1os.<\/p>\n<p>Las tres vulnerabilidades aprovechadas en este ataque han sido corregidas con parches por el proveedor. Sin embargo, si tu enrutador fue vulnerado anteriormente, la actualizaci\u00f3n de firmware no eliminar\u00e1 la puerta trasera. Tienes que abrir la configuraci\u00f3n de tu enrutador y comprobar si hay un servidor SSH habilitado, a la escucha en el puerto 53282. Si es as\u00ed, desactiva el servidor SSH y elimina la clave SSH administrativa, que comienza con los caracteres<\/p>\n<p><strong><em>AAAAB3NzaC1yc2EA<\/em><\/strong><\/p>\n<p>Si no est\u00e1s seguro de c\u00f3mo hacer todo eso, hay una soluci\u00f3n m\u00e1s dr\u00e1stica: un restablecimiento completo de f\u00e1brica.<\/p>\n<h2>No es solo ASUS<\/h2>\n<p>Los investigadores que descubrieron el ataque de ASUS creen que es parte de una <a href=\"https:\/\/blog.sekoia.io\/vicioustrap-infiltrate-control-lure-turning-edge-devices-into-honeypots-en-masse\/\" target=\"_blank\" rel=\"noopener nofollow\">campa\u00f1a m\u00e1s amplia<\/a> que ha afectado a alrededor de 60 tipos de dispositivos dom\u00e9sticos y de oficina, incluidos los sistemas de vigilancia por v\u00eddeo, las cajas NAS y los servidores VPN de oficina. Los dispositivos afectados incluyen D-Link DIR-850L S, Cisco RV042, Araknis Networks AN-300-RT-4L2W, Linksys LRT224 y algunos dispositivos de QNAP. Los ataques a estos dispositivos se desarrollan de manera un poco diferente, pero comparten las mismas caracter\u00edsticas generales: aprovechar las vulnerabilidades, utilizar las funciones integradas en el dispositivo para obtener el control y mantener el sigilo. Seg\u00fan las evaluaciones de los investigadores, los dispositivos vulnerados se est\u00e1n utilizando para redirigir el tr\u00e1fico y supervisar las t\u00e9cnicas de ataque empleadas por los actores de amenazas rivales. Estos ataques se atribuyen a un grupo de pirater\u00eda \u201ccon buenos recursos y muy capaz\u201d. Sin embargo, grupos de ataque dirigidos en todo el mundo han adoptado t\u00e9cnicas similares, raz\u00f3n por la cual los enrutadores dom\u00e9sticos en cualquier pa\u00eds medianamente grande son ahora un objetivo atractivo para ellos.<\/p>\n<h2>Conclusiones y consejos<\/h2>\n<p>El ataque a los enrutadores dom\u00e9sticos de ASUS muestra los signos cl\u00e1sicos de intrusiones dirigidas: sigilo, vulneraci\u00f3n sin usar malware y la creaci\u00f3n de canales de acceso persistente que permanecen abiertos incluso despu\u00e9s de que se parchea la vulnerabilidad y se actualiza el firmware. Entonces, \u00bfqu\u00e9 puede hacer un usuario dom\u00e9stico para defenderse de estos atacantes?<\/p>\n<ul>\n<li><strong>La elecci\u00f3n del enrutador es importante.<\/strong> No te conformes con el enrutador est\u00e1ndar que te alquila tu proveedor y no busques solo la opci\u00f3n m\u00e1s barata. Explora la oferta de las tiendas de electr\u00f3nica y escoge un modelo lanzado en los \u00faltimos uno o dos a\u00f1os para asegurarte de recibir actualizaciones de firmware en los pr\u00f3ximos a\u00f1os. Trata de escoger un fabricante que se tome la seguridad en serio. Esto es complicado, ya que no existen las opciones perfectas. Por lo general, puedes utilizar la frecuencia de las actualizaciones de firmware y el per\u00edodo de soporte indicado por el fabricante como gu\u00eda. Puedes encontrar las \u00faltimas noticias sobre seguridad de enrutadores en sitios como <a href=\"https:\/\/routersecurity.org\/RouterNews.php\" target=\"_blank\" rel=\"noopener nofollow\">Router Security<\/a>, pero no esperes encontrar \u201cbuenas historias\u201d all\u00ed; es m\u00e1s \u00fatil para encontrar \u201cantih\u00e9roes\u201d.<\/li>\n<li><strong>Actualiza el firmware de tu dispositivo con regularidad.<\/strong> Si tu enrutador ofrece una funci\u00f3n de actualizaci\u00f3n autom\u00e1tica, es mejor activarla para que no tengas que preocuparte por las actualizaciones manuales ni por quedar desactualizado. A\u00fan as\u00ed, es una buena idea verificar el estado, la configuraci\u00f3n y la versi\u00f3n de firmware de tu enrutador varias veces al a\u00f1o. Si no has recibido una actualizaci\u00f3n de firmware en 12 a 18 meses, puede ser el momento de considerar reemplazar el enrutador por un modelo m\u00e1s nuevo.<\/li>\n<li><strong>Desactiva todos los servicios innecesarios en tu enrutador.<\/strong> Revisa todas las configuraciones y desactiva las funciones adicionales que no uses.<\/li>\n<li><strong>Desactiva el acceso administrativo a tu enrutador<\/strong> desde Internet (WAN) a trav\u00e9s de todos los canales de administraci\u00f3n (SSH, HTTPS, Telnet y cualquier otro).<\/li>\n<li><strong>Desactiva las aplicaciones de administraci\u00f3n de enrutadores m\u00f3viles.<\/strong> Si bien son convenientes, estas aplicaciones introducen una variedad de nuevos riesgos: adem\u00e1s de tu tel\u00e9fono inteligente y enrutador, es probable que intervenga un servicio en la nube patentado. Por esta raz\u00f3n, es mejor desactivar este m\u00e9todo de administraci\u00f3n y evitar su uso.<\/li>\n<li><strong>Cambia las contrase\u00f1as predeterminadas<\/strong> tanto para la administraci\u00f3n del enrutador como para el acceso a Wi-Fi. Estas contrase\u00f1as no deber\u00edan coincidir. Cada una debe ser larga y no estar formada por palabras o n\u00fameros obvios. Si tu enrutador lo permite, cambia el nombre de usuario <strong>admin<\/strong> por algo \u00fanico.<\/li>\n<li><strong>Utiliza una protecci\u00f3n integral para tu red dom\u00e9stica.<\/strong> Por ejemplo, <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0viene con un <a href=\"https:\/\/support.kaspersky.com\/es\/kaspersky-for-windows\/21.21\/138204\" target=\"_blank\" rel=\"noopener\">m\u00f3dulo de protecci\u00f3n para el hogar inteligente<\/a> que supervisa problemas comunes como dispositivos vulnerables y contrase\u00f1as d\u00e9biles. Si el monitor de casa inteligente detecta puntos d\u00e9biles o un nuevo dispositivo en tu red que no hayas identificado previamente como conocido, te avisar\u00e1 y te proporcionar\u00e1 recomendaciones para asegurar tu red.<\/li>\n<li><strong>Revisa cada p\u00e1gina de la configuraci\u00f3n de tu enrutador.<\/strong> Busca las siguientes se\u00f1ales sospechosas: (1) reenv\u00edo de puertos a dispositivos desconocidos en tu red dom\u00e9stica o Internet, (2) nuevas cuentas de usuario que no hayas creado y (3) claves SSH desconocidas o cualquier otra credencial de inicio de sesi\u00f3n. Si encuentras algo como esto, busca en l\u00ednea el modelo de tu enrutador combinado con la informaci\u00f3n sospechosa que hayas descubierto, como un nombre de usuario o una direcci\u00f3n de puerto. Si no encuentras ninguna menci\u00f3n al problema que has descubierto como una caracter\u00edstica documentada del sistema de tu enrutador, elimina esos datos.<\/li>\n<li><strong>Suscr\u00edbete a nuestro<\/strong> <a href=\"https:\/\/t.me\/+nE7H34DovRY1YzBk\" target=\"_blank\" rel=\"noopener nofollow\">canal de Telegram<\/a>\u00a0y mantente al d\u00eda de todas las noticias sobre ciberseguridad.<\/li>\n<\/ul>\n<blockquote><p>Para obtener m\u00e1s consejos sobre c\u00f3mo elegir, configurar y proteger tus dispositivos dom\u00e9sticos inteligentes, as\u00ed como informaci\u00f3n sobre otras amenazas de piratas inform\u00e1ticos contra los aparatos electr\u00f3nicos de tu hogar, consulta estas publicaciones:<\/p>\n<ul>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/smart-home-zigbee-thread-matter-advice\/26037\/\" target=\"_blank\" rel=\"noopener\">La mejor estrategia para tu hogar inteligente<\/a><\/li>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/how-to-secure-smart-home\/26098\/\" target=\"_blank\" rel=\"noopener\">C\u00f3mo proteger tu hogar inteligente<\/a><\/li>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/28158\/\" target=\"_blank\" rel=\"noopener\">Un hogar no tan inteligente<\/a><\/li>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/3-reasons-not-to-use-smart-locks\/26227\/\" target=\"_blank\" rel=\"noopener\">Tres razones para no usar cerraduras inteligentes<\/a><\/li>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/router-malware\/24904\/\" target=\"_blank\" rel=\"noopener\">Las amenazas secretas del malware en los routers<\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Por qu\u00e9 los atacantes avanzados est\u00e1n interesados en los puntos de acceso Wi-Fi de tu hogar y c\u00f3mo mantienen el control sobre tus dispositivos.<\/p>\n","protected":false},"author":2722,"featured_media":28332,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[92,251,2564,1396,3504,38,2793,192,588],"class_list":{"0":"post-28331","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-contrasenas","9":"tag-ddos","10":"tag-hogar-inteligente","11":"tag-iot","12":"tag-proxy","13":"tag-seguridad","14":"tag-sugerencias","15":"tag-tecnologia","16":"tag-wi-fi"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/save-your-home-router-from-apt-residential-proxy\/28331\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/save-your-home-router-from-apt-residential-proxy\/29145\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/save-your-home-router-from-apt-residential-proxy\/24341\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/save-your-home-router-from-apt-residential-proxy\/29185\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/save-your-home-router-from-apt-residential-proxy\/31166\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/save-your-home-router-from-apt-residential-proxy\/39859\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/save-your-home-router-from-apt-residential-proxy\/13569\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/save-your-home-router-from-apt-residential-proxy\/53840\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/save-your-home-router-from-apt-residential-proxy\/22983\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/save-your-home-router-from-apt-residential-proxy\/24012\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/save-your-home-router-from-apt-residential-proxy\/32438\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/save-your-home-router-from-apt-residential-proxy\/29260\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/save-your-home-router-from-apt-residential-proxy\/35117\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/save-your-home-router-from-apt-residential-proxy\/34756\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/wi-fi\/","name":"Wi-Fi"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28331","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=28331"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28331\/revisions"}],"predecessor-version":[{"id":28360,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28331\/revisions\/28360"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/28332"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=28331"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=28331"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=28331"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}