Hackers rusos al servicio del Kremlin intensifican ataques a routers wifi en todo el mundo

Los hackers rusos ligados al Kremlin han intensificado una campaña global para convertir routers wifi domésticos y de oficina en herramientas de espionaje, según advirtió el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido, dependiente de la Sede de Comunicaciones del Gobierno (GCHQ), agencia británica de inteligencia.

Esta amenaza, que se basa en la explotación de vulnerabilidades conocidas en dispositivos comunes, no solo expone datos confidenciales como contraseñas y tokens de autorización, sino que también pone en riesgo a empresas y organismos públicos de al menos 120 países, al facilitar la interceptación de datos sensibles y ataques a gran escala.

De acuerdo con un informe citado por el medio The Times, la operación ha sido atribuida al grupo Fancy Bear —también conocido como APT28 y Forest Blizzard—, al que se relaciona con la inteligencia militar rusa (GRU). Los investigadores de seguridad de Lumen Technologies’ Black Lotus Labs confirmaron la existencia de “miles de víctimas potenciales” de estos ataques, principalmente en agencias gubernamentales como ministerios de asuntos exteriores, fuerzas de seguridad y proveedores de correo electrónico de terceros, según consta en un reporte obtenido por Bloomberg.

El método empleado por el grupo consiste en acceder de manera remota a routers con software desactualizado o configuraciones débiles, como los modelos de uso masivo TP-Link y MikroTik, para redirigir el tráfico de internet hacia sitios falsos y servicios fraudulentos como versiones maliciosas de Microsoft Outlook. Así logran recolectar información confidencial de teléfonos y computadoras conectadas a esas redes, incrementando el riesgo de ataques adicionales.

El NCSC identificó que la campaña comenzó en 2024 y recomendó la renovación de equipos antiguos y la actualización inmediata del software de los routers, debido al “amplio margen de ataque” que representan estos dispositivos para actores hostiles sofisticados.

El equipo de Microsoft Threat Intelligence informó que más de 200 organizaciones y 5.000 dispositivos de consumo han sido comprometidos en el marco de esta ofensiva, y advirtió que se trata de “una escalada significativa en la forma en que actores estatales convierten en armas dispositivos desatendidos en los márgenes de la red, lo que podría permitir interceptaciones a gran escala en el futuro”, según declaraciones recogidas por The Times.

Los hackers no seleccionan a sus víctimas de manera específica en un primer momento. El propio NCSC subrayó que Fancy Bear lanza una red muy amplia, procurando afectar la “mayor cantidad posible de objetivos” antes de identificar a aquellos con potencial valor de inteligencia, estrategia que dificulta la detección temprana de la amenaza.

Según registros históricos recogidos por The Times, Fancy Bear cuenta con antecedentes en operaciones de alto nivel: fue acusado de infiltrarse en el Comité Nacional Demócrata durante las elecciones presidenciales de Estados Unidos en 2016, de robar información del parlamento alemán en 2015 y de filtrar expedientes médicos de la Agencia Mundial Antidopaje tras la suspensión de atletas rusos. También intentó vulnerar la sede en el Reino Unido de la Organización para la Prohibición de las Armas Químicas con el fin de obstaculizar investigaciones independientes sobre el uso de agentes tóxicos vinculados al GRU.

La creciente preocupación respecto a la seguridad nacional llevó a que, el mes pasado, Estados Unidos prohibiera la importación y comercialización de routers de origen extranjero. “Los actores maliciosos han aprovechado vacíos de seguridad en routers de fabricación extranjera para atacar hogares estadounidenses, interrumpir redes, habilitar el espionaje y facilitar el robo de propiedad intelectual”, indicó la Federal Communications Commission.

En el caso de TP-Link, fundada en China, la empresa enfrenta investigaciones por parte de los departamentos de Comercio y Justicia, la Comisión Federal de Comercio y la fiscalía general de Texas, todas relativas a sus vínculos con China y la seguridad de sus productos en Estados Unidos.

El profesor Alan Woodward, especialista en ciberseguridad de la Universidad de Surrey, explicó a The Times que la táctica de atacar routers es antigua pero efectiva: “Estos dispositivos suelen ser olvidados y, por lo tanto, no se actualizan”.

La alerta emitida por el NCSC acerca de la manipulación de routers wifi de uso cotidiano para el robo de información sensible pone de relieve —una vez más— la vulnerabilidad de estos equipos. Dado que gestionan el tráfico de todos los dispositivos conectados a la red, su control por parte de grupos como Fancy Bear puede convertirlos en una poderosa herramienta para la vigilancia y el acceso subrepticio a datos críticos, comprometiendo tanto la privacidad individual como la seguridad institucional.