Un grupo de ciberdelincuentes vinculado al gobierno de Rusia ha logrado comprometer y tomar el control de miles de routers en todo el mundo. Estos dispositivos, fundamentales para la conexión a internet tanto en hogares como en empresas, han sido utilizados con el objetivo de sustraer contraseñas y datos de acceso de los usuarios. La alerta fue emitida por el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido y los investigadores de Black Lotus Labs.
Los analistas han identificado esta operación como la acción más reciente del grupo conocido como Fancy Bear, también denominado APT28. Esta organización es considerada una extensión de la agencia de inteligencia rusa GRU y se le atribuyen incidentes previos de gran relevancia, como la intrusión en los sistemas del comité nacional demócrata de los Estados Unidos en 2016 y el ataque al proveedor satelital Viasat en 2022.
Alcance y víctimas de la operación
De acuerdo con los informes técnicos, la ofensiva se dirigió específicamente contra dispositivos de las marcas MikroTik y Tp-Link que no contaban con las actualizaciones de seguridad más recientes. Los atacantes aprovecharon vulnerabilidades en software obsoleto para comprometer los equipos, lo que les permitió realizar operaciones de espionaje remoto sin que los propietarios lo advirtieran.
El mecanismo de la campaña consiste en modificar la configuración interna de los routers para redirigir el tráfico de las víctimas hacia una infraestructura controlada por los atacantes. Mediante este método, los usuarios son desviados a sitios web falsificados donde se capturan sus credenciales para acceder a cuentas personales y profesionales. Black Lotus Labs ha detectado al menos 18.000 víctimas distribuidas en 120 países, afectando incluso a departamentos gubernamentales y fuerzas de seguridad en regiones de África del Norte, América Central y el Sudeste Asiático.
Medidas de respuesta y mitigación
Microsoft ha confirmado la magnitud de esta campaña tras identificar a más de 200 organizaciones y 5.000 dispositivos de consumo afectados. Como medida inmediata para neutralizar la amenaza, los routers comprometidos recibieron un comando automático diseñado para restablecer la configuración original y bloquear posibles infiltraciones futuras.
Este incidente subraya la importancia crítica de mantener actualizado el firmware de los dispositivos de red. Los expertos advierten que el uso de equipos con software antiguo representa un riesgo significativo, ya que permite que actores estatales desplieguen herramientas de vigilancia masiva aprovechando fallos de seguridad que ya han sido corregidos en versiones más recientes.
Fuente: Black Lotus Labs
