EL MALWARE ESTÁ DONDE MENOS ESPERAS

/ Análisis Experto Telecomunicaciones / Por
Compartir

Este Artículo está patrocinado por:

Una nueva ola de programas maliciosos está infectando masivamente los routers domésticos en todo el mundo, convirtiendo millones de dispositivos en armas silenciosas al servicio del crimen organizado y de operaciones de espionaje estatal.

El FBI, la CISA y agencias de ciberseguridad de una docena de países han lanzado alertas urgentes: la amenaza es real, está activa ahora mismo y puede estar ocurriendo en tu propia red.

El eslabón más débil, podría estar en tu hogar

Por: Gabriel E Levy B

Cada vez que alguien enciende una computadora portátil, envía un mensaje de texto o hace una videollamada, el tráfico de esa comunicación pasa a través de un pequeño dispositivo que pocas personas revisan, actualizan o siquiera recuerdan que existe: el router doméstico.

Durante años, ese aparato relegado a una esquina de la sala fue ignorado tanto por usuarios como por los propios fabricantes en materia de seguridad.

Hoy, ese descuido colectivo ha generado una de las crisis de ciberseguridad más graves de la historia reciente.

Docenas de familias de malware han convertido los routers domésticos y de pequeñas oficinas en su blanco predilecto.

El ecosistema de amenazas documentado hasta comienzos de 2026 incluye al menos doce variantes activas que infectan, espían, alquilan y, en los casos más extremos, destruyen de manera permanente estos dispositivos.

El impacto es global: en 2025 se registraron 47,1 millones de ataques de denegación de servicio distribuido, un incremento del 121 % respecto al año anterior, la mayoría protagonizados por routers comprometidos.

En diciembre de ese año, una sola botnet alcanzó los 31,4 terabits por segundo de tráfico malicioso, rompiendo todos los récords históricos.

Los protagonistas de la amenaza

El malware más agresivo en la actualidad se denomina AISURU, también conocido como Airashi o Kimwolf. Identificado por primera vez en agosto de 2024, este programa, heredero directo del histórico Mirai, controla más de 300.000 dispositivos infectados de marcas como Totolink, Zyxel, D-Link, Linksys y T-Mobile.

En abril de 2025, sus operadores lograron infiltrar el servidor de actualizaciones de firmware de Totolink, lo que les permitió distribuir scripts maliciosos a decenas de miles de routers simultáneamente, es decir, convirtieron el mecanismo de seguridad del fabricante en una vía de infección masiva.

Otro actor de alto impacto es TheMoon, un malware conocido desde 2014 que resurgió con fuerza en 2024 para alimentar un lucrativo servicio de proxies criminales llamado Faceless. Este servicio facturó más de 46 millones de dólares vendiendo acceso anónimo a internet a través de routers infectados, antes de que el FBI interviniera en mayo de 2025 con la Operación Moonlander.

Sin embargo, la amenaza no desapareció: emergió una versión sucesora llamada KadNap, con cerca de 14.000 dispositivos comprometidos y una arquitectura de red entre pares prácticamente imposible de desmantelar mediante métodos tradicionales.

El escenario más perturbador hasta la fecha ocurrió en octubre de 2023, cuando el malware Chalubo ejecutó la llamada operación «Pumpkin Eclipse»: en apenas 72 horas, destruyó permanentemente más de 600.000 routers pertenecientes a un solo proveedor de internet de Estados Unidos. Los dispositivos quedaron completamente inoperables y debieron ser reemplazados físicamente, afectando de manera desproporcionada a comunidades rurales con escaso acceso a servicios alternativos. La identidad del atacante sigue siendo desconocida.

En el frente geopolítico, el grupo chino Volt Typhoon mantuvo acceso encubierto a infraestructura crítica de Estados Unidos durante al menos cinco años utilizando routers domésticos comprometidos como nodos de relay invisibles.

¿Cómo operan y por qué son tan difíciles de detectar?

Los routers son un blanco ideal precisamente porque carecen de software de protección.

No tienen antivirus, rara vez tienen registros de actividad accesibles para el usuario común y, en la mayoría de los casos domésticos, nadie los supervisa.

A eso se suman años de vulnerabilidades acumuladas sin parchear, contraseñas predeterminadas que nunca se cambian y servicios de administración remota innecesariamente activos.

El método de infección varía según el malware, pero sigue tres rutas principales: explotar vulnerabilidades conocidas que el fabricante ya no parcheará porque el dispositivo llegó a su fin de vida útil; aprovechar credenciales débiles o predeterminadas mediante ataques de fuerza bruta; o, en los casos más sofisticados, comprometer la cadena de suministro del firmware, como hizo AISURU con Totolink.

Una vez dentro, el malware actúa con extrema discreción: Volt Typhoon utiliza herramientas del propio sistema operativo del router para no dejar rastros; Chalubo se ejecuta completamente en memoria y elimina sus propios archivos tras la ejecución; KadNap entierra su infraestructura de comando dentro del tráfico de redes entre pares, indistinguible del uso normal de BitTorrent.

La persistencia también se ha vuelto más sofisticada.

Mientras que las variantes más antiguas desaparecen con un simple reinicio del dispositivo, las amenazas más recientes sobreviven incluso a un restablecimiento de fábrica. KadNap instala una tarea programada que descarga y ejecuta el malware nuevamente en el minuto 55 de cada hora. AyySSHush, que ataca routers ASUS, inyecta claves SSH utilizando las propias herramientas de configuración del fabricante, creando una puerta trasera permanente que no desaparece ni con el reset más profundo.

Cómo protegerse: pasos concretos para usuarios y empresas

La recomendación más urgente de las agencias de ciberseguridad es también la más directa: reemplazar cualquier router que ya no reciba actualizaciones de seguridad de su fabricante. Usar un dispositivo sin soporte activo equivale a dejar la puerta principal sin cerradura. El FBI identificó en 2025 trece modelos Linksys que siguen activamente explotados y que ya no reciben actualizaciones; la lista se amplía constantemente.

Para dispositivos que aún cuentan con soporte, las medidas más efectivas incluyen: desactivar la administración remota, la configuración individual de mayor impacto según todos los informes oficiales, deshabilitar UPnP y WPS, protocolos que las nuevas variantes de Mirai explotan activamente; actualizar el firmware de manera periódica desde la web oficial del fabricante; y cambiar las credenciales de administrador por una contraseña fuerte y única.

La CISA también recomienda separar los dispositivos del hogar inteligente (cámaras, televisores, termostatos) en una red de invitados independiente, de modo que si uno es comprometido no afecte al resto.

Qué hacer si el router ya está infectado

Detectar una infección no siempre es sencillo. Las señales más comunes incluyen calentamiento inusual del dispositivo, caídas intermitentes de conexión, velocidades anormalmente lentas, cambios en la configuración DNS que el usuario no realizó, o credenciales de administrador que de repente no funcionan.

Si se sospecha una infección, el protocolo recomendado comienza con un ciclo de apagado y encendido del router: desconectarlo de la corriente durante 30 segundos elimina el malware residente en memoria en la mayoría de variantes tradicionales.

Sin embargo, eso no cierra la vulnerabilidad.

El paso siguiente es el restablecimiento de fábrica completo, usualmente manteniendo presionado el botón de reset durante diez segundos, seguido de inmediato por la instalación del firmware más reciente disponible, antes de reconectar el dispositivo a internet.

La reconfiguracion debe hacerse desde cero: nuevas credenciales de administrador, red wifi con contraseña robusta, servicios no esenciales desactivados.

Para routers ASUS afectados por AyySSHush o WrtHug, donde el reset de fábrica puede no ser suficiente, ASUS ha publicado un procedimiento específico que incluye la actualización de firmware y la desactivación de AiCloud. Si el router está literalmente inutilizado, como ocurrió con las víctimas de Chalubo, la única solución es el reemplazo físico.

El problema de fondo es estructural.

Cientos de millones de routers en todo el mundo han llegado al final de su vida útil, sus dueños no lo saben y los fabricantes no tienen ninguna obligación legal de advertirlo.

Mientras tanto, el ecosistema criminal que los explota genera decenas de millones de dólares anuales, y actores estatales los utilizan para posicionarse estratégicamente en infraestructuras críticas con vistas a potenciales conflictos futuros.

Las agencias de seguridad pueden desmantelar botnets, como lo hizo el FBI con KV-Botnet en 2024, pero la reinfección es cuestión de meses. La única defensa duradera, advierten los expertos, empieza por el usuario que mira ese pequeño dispositivo en una esquina y decide, por primera vez, tomarlo en serio.

En Conclusión

Una docena de familias de malware, AISURU, TheMoon, Chalubo, Ballista, Volt Typhoon, infectan millones de routers domésticos en todo el mundo, convirtiéndolos en armas para ataques masivos, proxies criminales y espionaje estatal.

Difíciles de detectar y cada vez más resistentes al reinicio, estos programas explotan dispositivos sin actualizaciones y contraseñas débiles.

La solución empieza por reemplazar routers obsoletos, desactivar la administración remota y actualizar el firmware con regularidad.​​​​​​​​​​​​​​​​

FUENTES Y REFERENCIAS

  • FBI / IC3 – PSA250507: Cyber Criminal Proxy Services Exploiting End of Life Routers (mayo 2025). fbi.gov
  • CISA – PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure, Advisory AA24-038A (2024). cisa.gov
  • CISA – Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers (2024). cisa.gov
  • Microsoft Security Blog – Volt Typhoon targets US critical infrastructure with living-off-the-land techniques (mayo 2023). microsoft.com
  • Lumen / Black Lotus Labs – The Pumpkin Eclipse: Identifying Chalubo Malware (2024). blog.lumen.com
  • Lumen / Black Lotus Labs – The Dark Side of TheMoon (2024). blog.lumen.com
  • Qianxin XLab – The Most Powerful Ever? Inside the 11.5Tbps-Scale Mega Botnet AISURU (2025). blog.xlab.qianxin.com
  • The Hacker News – AISURU/Kimwolf Botnet Launches Record-Setting 31.4 Tbps DDoS Attack (febrero 2026). thehackernews.com
  • The Hacker News – KadNap Malware Infects 14,000+ Edge Devices to Power Stealth Proxy Botnet (marzo 2026). thehackernews.com
  • The Hacker News – Ballista Botnet Exploits Unpatched TP-Link Vulnerability (marzo 2025). thehackernews.com
  • The Hacker News – WrtHug Exploits Six ASUS WRT Flaws to Hijack EoL Routers Worldwide (noviembre 2025). thehackernews.com
  • Bleeping Computer – Malware botnet bricked 600,000 routers in mysterious 2023 attack (2024). bleepingcomputer.com
  • Bleeping Computer – TheMoon malware infects 6,000 ASUS routers in 72 hours for proxy service (2024). bleepingcomputer.com
  • Krebs on Security – DDoS Botnet Aisuru Blankets US ISPs in Record DDoS (octubre 2025). krebsonsecurity.com
  • SecurityScorecard – Operation WrtHug: The Global Espionage Campaign Hiding in Your Home Router (2025). securityscorecard.com
  • Cato Networks CTRL – Ballista: New IoT Botnet Targeting Thousands of TP-Link Archer Routers (2025). catonetworks.com
  • ASUS – Official Statement on Recent Reports Regarding Router Security (junio 2025). asus.com

Artículos Relacionados

Scroll al inicio
Abrir chat
1
Escanea el código
Hola 👋
¿En qué podemos ayudarte? Contáctanos y te atenderemos directamente