Hackers rusos vinculados al Kremlin han intensificado una campaña global para convertir routers wifi domésticos y de oficina en herramientas de espionaje, advirtió el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido, dependiente de la sede de comunicaciones del Gobierno (GCHQ).
La amenaza se basa en la explotación de vulnerabilidades conocidas en dispositivos comunes y pone en riesgo datos confidenciales como contraseñas y tokens de autorización. También puede afectar a empresas y organismos públicos en al menos 120 países, al facilitar la interceptación de información y ataques a gran escala.
Un informe citado por The Times atribuye la operación al grupo Fancy Bear —también denominado APT28 o Forest Blizzard—, vinculado a la inteligencia militar rusa (GRU). Investigadores de Lumen Technologies’ Black Lotus Labs confirmaron la existencia de “miles de víctimas potenciales”, principalmente en agencias gubernamentales como ministerios de exteriores, fuerzas de seguridad y proveedores de correo electrónico de terceros, según un reporte obtenido por Bloomberg.
El grupo accede de forma remota a routers con firmware desactualizado o configuraciones débiles —entre ellos modelos de uso masivo como TP‐Link y MikroTik— para redirigir tráfico hacia sitios fraudulentos o versiones maliciosas de servicios (por ejemplo, Microsoft Outlook), con el objetivo de capturar información de teléfonos y ordenadores conectados a esas redes.
El NCSC indicó que la campaña comenzó en 2024 y recomendó reemplazar equipos antiguos y aplicar actualizaciones de software de los routers de inmediato, dado el “amplio margen de ataque” que representan estos dispositivos frente a actores hostiles sofisticados.
Microsoft Threat Intelligence informó que más de 200 organizaciones y alrededor de 5.000 dispositivos de consumo han sido comprometidos en esta ofensiva, y advirtió que supone “una escalada significativa” en la forma en que actores estatales convierten en armas dispositivos desatendidos en los márgenes de la red, lo que podría permitir interceptaciones masivas en el futuro.
Los atacantes no seleccionan inicialmente víctimas concretas; el NCSC señaló que Fancy Bear lanza una red muy amplia para afectar “la mayor cantidad posible de objetivos” antes de identificar aquellos con valor de inteligencia, lo que dificulta la detección temprana.
Históricamente, Fancy Bear ha sido relacionado con operaciones de alto perfil: supuesta infiltración en el Comité Nacional Demócrata en 2016, robo de datos del parlamento alemán en 2015, filtración de expedientes médicos de la Agencia Mundial Antidopaje y un intento de vulnerar la sede británica de la Organización para la Prohibición de las Armas Químicas para obstaculizar investigaciones vinculadas al GRU.
Ante la creciente preocupación por la seguridad nacional, Estados Unidos prohibió el mes pasado la importación y comercialización de routers de origen extranjero. La Federal Communications Commission (FCC) señaló que actores maliciosos han explotado fallos de seguridad en routers extranjeros para atacar hogares estadounidenses, interrumpir redes, habilitar espionaje y facilitar el robo de propiedad intelectual.
TP‐Link, empresa fundada en China, está siendo investigada por los departamentos de Comercio y Justicia de EE. UU., la Comisión Federal de Comercio y la fiscalía general de Texas, en relación con sus vínculos con China y la seguridad de sus productos en ese mercado.
El profesor Alan Woodward, experto en ciberseguridad de la Universidad de Surrey, explicó a The Times que la táctica de atacar routers es antigua pero eficaz, ya que estos dispositivos suelen olvidarse y no recibir actualizaciones.
La alerta del NCSC sobre la manipulación de routers wifi de uso cotidiano para el robo de información sensible vuelve a poner de relieve la vulnerabilidad de estos equipos: al gestionar el tráfico de todos los dispositivos conectados, su control por grupos como Fancy Bear puede convertirlos en una potente herramienta de vigilancia y acceso oculto a datos críticos, comprometiendo la privacidad individual y la seguridad institucional.
