¿Tu router D-Link lleva 10 años en funcionamiento? Tenemos muy malas noticias para ti (y para su seguridad)
Nueva vulnerabilidad CVE muestra por qué un router viejo guardado en el armario puede ser más peligroso de lo que parece.
Parece que algunos modelos antiguos de D-Link todavía permanecen en servicio y eso es precisamente lo que los atacantes intentan convertir en un vector de ataque. Se han registrado intentos de explotación de una vulnerabilidad reciente que permite ejecutar comandos de forma remota en varios modelos de gateways DSL de D-Link, retirados del soporte hace muchos años.
Se trata de CVE-2026-0625 (puntuación CVSS: 9.3), una vulnerabilidad crítica de inyección de comandos en la interfaz web, en el manejador dnscfg.cgi, que se encarga de la configuración DNS. Debido a una filtración insuficiente de los datos de entrada, un atacante sin autenticación puede insertar comandos del sistema a través de los parámetros de configuración DNS y obtener ejecución remota de código.
Los especialistas de VulnCheck notificaron a D-Link el 15 de diciembre, y los primeros indicios de explotación los observaron los especialistas de The Shadowserver Foundation en uno de sus sistemas señuelo. Según VulnCheck, las técnicas detectadas en los sensores no habían sido descritas públicamente con anterioridad.
D-Link confirmó los dispositivos y las versiones de firmware afectados. En la lista figuran DSL-526B con versiones hasta la 2.01 inclusive, DSL-2640B hasta la 1.07 inclusive, DSL-2740R con versiones inferiores a la 1.17 y DSL-2780B hasta la 1.01.14 inclusive. Todos estos modelos tienen estatus EoL desde 2020 y no recibirán correcciones, por lo que el fabricante recomienda retirarlos de servicio y reemplazarlos por dispositivos con soporte.
Además, D-Link señala que no es sencillo determinar con precisión el listado completo de modelos potencialmente vulnerables debido a la heterogeneidad de los firmwares y las generaciones de dispositivos. La compañía está comprobando distintas compilaciones de firmware en plataformas antiguas y en plataformas con soporte para entender si el problema existe en otros lugares.
Quién está atacando y qué objetivos selecciona aún no está claro. VulnCheck llama la atención sobre un matiz práctico. En muchas configuraciones domésticas el acceso a puntos CGI administrativos como dnscfg.cgi está limitado a la red local, por lo que la explotación real a menudo requiere que la administración remota esté activada o un ataque a través del navegador de la víctima. En la práctica, esto vuelve a chocar con la historia típica de los routers antiguos: el dispositivo funciona durante años, la configuración se olvida y ya no habrá parches.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla