Botnets en lugar de comunicaciones industriales: ¿qué consecuencias tendrá el hackeo masivo de routers Four‑Faith?
Hackers aprovechan routers olvidados para infiltrarse en redes industriales
Los routers industriales antiguos Four-Faith comenzaron a utilizarse activamente para crear botnets. Según los datos de CrowdSec, los atacantes atacan masivamente los dispositivos de la serie F3x36 a través de la vulnerabilidad crítica CVE-2024-9643 (puntuación CVSS: 10), que permite acceder al panel de administración sin la verificación habitual de la contraseña.
El problema está relacionado con credenciales de administrador codificadas en la interfaz web de los routers. Conociendo esas credenciales, el atacante puede enviar una solicitud HTTP especial a las páginas de gestión, como /Status_Router.asp, y obtener privilegios de administrador.
Tras ese acceso, el atacante puede leer datos de servicio, cambiar la configuración del dispositivo y afianzarse en el sistema. Para el propietario de la red, un router comprometido es peligroso no solo por sí mismo. Ese dispositivo está en el camino del tráfico de red, puede abrir acceso a recursos internos y convertirse en parte de la infraestructura para nuevos ataques.
Los dispositivos Four-Faith F3x36 se utilizan para la comunicación de emplazamientos remotos, equipos industriales, almacenes, tiendas, instalaciones municipales y pequeñas oficinas. Estos dispositivos a menudo funcionan durante años sin la atención de los administradores, por lo que se convierten en un objetivo cómodo para ataques automatizados.
La vulnerabilidad se dio a conocer el 4 de febrero de 2025. CrowdSec publicó una regla de detección el 15 de abril de 2026, y los primeros ataques en redes reales se registraron el 20 de abril. Para el 18 de mayo, los especialistas de CrowdSec habían visto 139 direcciones IP atacantes. El 12 de mayo la actividad aumentó tanto que CVE-2024-9643 pasó a la fase de explotación masiva.
Según la telemetría de CrowdSec, en el 76% de los casos los atacantes intentan apoderarse de la infraestructura de red. Con mayor frecuencia las organizaciones comerciales son las más afectadas. Las fuentes de los ataques se distribuyen por distintos países; entre los destinos destacados figuran Reino Unido, Alemania, Estados Unidos y Países Bajos. Esta dispersión se asemeja más a campañas automatizadas que a ataques dirigidos contra un solo objetivo.
El riesgo aumenta por materiales públicos para comprobar la vulnerabilidad, incluido un patrón para nuclei. Estas herramientas reducen la barrera de entrada y permiten buscar rápidamente dispositivos vulnerables en Internet.
Los administradores de Four-Faith F3x36 deberían comprobar lo antes posible si el fabricante o el proveedor del equipo ha publicado actualizaciones. Antes de instalar las correcciones, conviene bloquear el acceso al panel de administración desde Internet, limitar el acceso solo a direcciones de confianza y vigilar las solicitudes sospechosas a la interfaz administrativa.