Mientras duerme, su router gana dinero con el cibercrimen — y no desde ayer
Hackers estatales utilizan dispositivos antiguos para lanzar ataques anónimos.
Los routers antiguos vuelven a estar en el punto de mira: los ciberdelincuentes están convirtiendo dispositivos obsoletos en proxies fantasma que luego alquilan en plataformas clandestinas como 5Socks y Anyproxy. El FBI ha publicado una alerta sobre una nueva oleada de ataques dirigida a modelos de routers que hace tiempo dejaron de recibir soporte y actualizaciones de seguridad.
El objetivo principal de los atacantes es transformar estos dispositivos en “proxies residenciales” e integrarlos en botnets. En este esquema, los routers infectados actúan como intermediarios para enrutar tráfico de internet, permitiendo a los delincuentes ocultar su ubicación real y camuflar sus actividades como si fueran conexiones legítimas. Estos proxies alquilados se utilizan activamente para hackeos, phishing, robo de criptomonedas y ciberataques por encargo.
Representan un riesgo particular los modelos de routers de Linksys y Cisco, incluyendo los Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, así como versiones antiguas de la serie WRT — WRT320N, WRT310N, WRT610N. También se han identificado como vulnerables los modelos Cradlepoint E100 y Cisco M10. Todos estos dispositivos se consideran obsoletos y ya no reciben actualizaciones de firmware.
El FBI destaca que los atacantes están aprovechando exploits de acceso público para instalar malware persistente en los dispositivos. En esta nueva campaña se utiliza una versión actualizada de TheMoon, un botnet bien conocido que apunta específicamente a routers. Una vez dentro del dispositivo, TheMoon lo conecta a un servidor de control (C2), desde el cual recibe órdenes para expandirse, escanear nuevos sistemas vulnerables y crear más nodos proxy.
Además, se ha detectado que actores respaldados por Estados, incluidos hackers chinos, ya están empleando esta técnica para espionaje y ataques a infraestructuras críticas en EE. UU. Esto agrava aún más la situación, ya que estos dispositivos olvidados se convierten en puntos de entrada a objetivos estratégicos.
Las señales de que un router puede haber sido comprometido incluyen conexión inestable, sobrecalentamiento, ralentizaciones, cambios inesperados en la configuración, aparición de nuevas cuentas de administrador y tráfico de red anómalo. Los usuarios que tienen habilitada la administración remota están particularmente en riesgo.
La medida de protección más confiable es reemplazar el equipo obsoleto por modelos modernos con soporte activo. Si esto no es posible, se recomienda instalar el firmware más reciente disponible desde el sitio oficial del fabricante, desactivar la administración remota y cambiar las credenciales de administrador predeterminadas.
Los expertos aconsejan a los administradores de red revisar su infraestructura y retirar lo antes posible los dispositivos que se encuentren dentro del grupo de riesgo.