¡Deshazte de tu viejo TP-Link! Los hackers no cederán

Los hackers están atacando routers antiguos de TP-Link aprovechando una vulnerabilidad que fue descubierta hace dos años, pero que solo ahora ha comenzado a ser activamente explotada en ataques reales. Así lo advierte la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA), que ha añadido el problema a su catálogo de vulnerabilidades explotadas activamente. Los expertos insisten: ha llegado el momento de abandonar para siempre los modelos antiguos que ya no reciben actualizaciones de seguridad.

Se trata de una vulnerabilidad crítica de tipo Command Injection, identificada como CVE-2023-33538, con una puntuación de 8,8 en la escala CVSS. Permite a un atacante ejecutar comandos arbitrarios de forma remota en el router sin necesidad de autenticación. El problema radica en la interfaz web de administración: al procesar un parámetro específico en una solicitud GET, los dispositivos no filtran adecuadamente la entrada del usuario, lo que permite la inyección de comandos maliciosos.

La vulnerabilidad es especialmente peligrosa en routers con acceso externo, por ejemplo, si se encuentra habilitada la administración remota. Pero incluso si el dispositivo no está conectado directamente a Internet, el ataque puede realizarse desde la red local —por ejemplo, a través de una laptop o smartphone infectado.

Entre los modelos vulnerables se encuentran varios dispositivos que alguna vez fueron muy populares en el mercado de consumo. En primer lugar, el TP-Link TL-WR940N (versiones V2 y V4), que aún se vende en Amazon y tiene más de 9 mil reseñas positivas. Sin embargo, dichas versiones ya fueron clasificadas como obsoletas hace tiempo —las últimas actualizaciones de firmware para ellas se lanzaron en 2016.

El segundo router es el TP-Link TL-WR841N, vulnerables las versiones V8 y V10. La última actualización de seguridad para estos modelos fue lanzada en 2015, y el router apareció por primera vez en el mercado en diciembre de 2005. A pesar de ello, el dispositivo aún ocupa el puesto 165 en la categoría de “Routers de computadora” de Amazon y ha acumulado más de 77 mil reseñas. Las versiones anteriores a la V11 están oficialmente fuera de soporte.

El tercer modelo es el TP-Link TL-WR740N (versiones V1 y V2). Todas las variantes de este dispositivo también han alcanzado el fin de su vida útil, y las últimas actualizaciones fueron lanzadas hace 15 años. Como resultado, estos routers han quedado sin protección frente a ataques modernos.

Según CISA, la disponibilidad de exploits listos para usar y la gran difusión de los modelos hacen que la amenaza sea especialmente grave. La agencia recomienda encarecidamente dejar de usar estos dispositivos vulnerables y sustituirlos por modelos modernos que reciban actualizaciones actuales. Las agencias federales de EE. UU. están obligadas a eliminar los routers mencionados de su infraestructura antes del 7 de julio de 2025, pero las recomendaciones se aplican a todos —tanto organizaciones como usuarios particulares.

TP-Link ha sido criticada en el pasado por demoras en la actualización de firmware y por su política de soporte poco clara. El problema es sistémico: muchos modelos antiguos siguen vendiéndose con nuevas revisiones, pero sin indicaciones claras sobre las diferencias y los plazos de soporte. Como resultado, los consumidores pueden adquirir equipos que ya no están protegidos contra amenazas actuales.

La situación con TP-Link es un ejemplo claro de cómo los dispositivos obsoletos, todavía disponibles para la compra y ampliamente utilizados en hogares y pequeñas empresas, pueden convertirse en un eslabón débil en la seguridad digital. Dado el alto nivel de riesgo, los llamamientos de CISA para abandonar estos modelos no son solo una recomendación técnica, sino una cuestión de seguridad de los datos personales y de la infraestructura de red.