Netcrook Logo
👤 AGONY
🗓️ 08 Apr 2026   🌍 Europe

Enrutadores bajo asedio: Cómo agentes estadounidenses aplastaron la red global de espionaje DNS de Rusia

Autoridades estadounidenses, gigantes tecnológicos e investigadores cibernéticos se unen para desmantelar una extensa red de espionaje rusa que secuestraba enrutadores domésticos en todo el mundo.

Todo comenzó con una infiltración silenciosa e invisible: enrutadores en hogares y pequeñas oficinas de todo el mundo, silenciosamente tomados por hackers estatales rusos. Esta semana, el Departamento de Justicia de EE. UU. y el FBI revelaron que habían destruido una sofisticada campaña de espionaje rusa que convirtió dispositivos de internet cotidianos en armas para espiar a gobiernos e infraestructuras críticas en Estados Unidos y más allá. La operación, atribuida al notorio APT28 (también conocido como Fancy Bear), marca uno de los contraataques digitales más significativos de los últimos tiempos. Pero, ¿cómo lograron estos hackers transformar enrutadores comunes en puestos de escucha globales - y cómo lograron finalmente las autoridades derribarlos?

Datos clave

  • Hackers rusos de APT28 secuestraron miles de enrutadores TP-Link y MikroTik aprovechando vulnerabilidades conocidas.
  • Los atacantes reconfiguraron los ajustes de DNS y DHCP para capturar en secreto tráfico de internet sensible.
  • Más de 200 organizaciones y 5,000 dispositivos de consumo se vieron afectados, según Microsoft.
  • Lumen Technologies detectó más de 18,000 IPs únicas de más de 120 países comunicándose con los atacantes.
  • Agencias de EE. UU. y Reino Unido, con ayuda de la industria tecnológica, desmantelaron la infraestructura maliciosa a principios de 2026.

Dentro de la operación

El grupo ruso, rastreado bajo nombres como Forest Blizzard y Fancy Bear, explotó una vulnerabilidad conocida (CVE-2023-50224) para tomar el control de los enrutadores objetivo. Una vez dentro, alteraron la configuración de red de los enrutadores - específicamente, las configuraciones de DNS (Sistema de Nombres de Dominio) y DHCP (Protocolo de Configuración Dinámica de Host). Este sutil ajuste canalizaba todas las solicitudes web de los dispositivos conectados a través de servidores controlados en secreto por los hackers.

Utilizando una clásica técnica de adversario-en-el-medio (AitM), los atacantes interceptaban lo que las víctimas creían que eran conexiones seguras y cifradas. Si los usuarios ignoraban las advertencias del navegador sobre certificados de seguridad inválidos, los atacantes podían recolectar contraseñas, tokens de autenticación, correos electrónicos y actividad de navegación - exponiendo potencialmente datos sensibles de gobiernos e infraestructuras.

Microsoft y Lumen Technologies desempeñaron un papel fundamental en el análisis y seguimiento de la campaña. Microsoft identificó más de 200 organizaciones afectadas y miles de dispositivos de consumo, mientras que los Black Lotus Labs de Lumen detectaron un pico de 18,000 direcciones IP infectadas en más de 120 países. Muchas víctimas eran agencias gubernamentales, ministerios de asuntos exteriores y cuerpos policiales.

Los atacantes utilizaron herramientas legítimas como dnsmasq - comúnmente integradas en los enrutadores - para reenviar y manipular consultas DNS, llegando incluso a falsificar respuestas para dirigir a las víctimas a sitios controlados por los atacantes para una mayor explotación o despliegue de malware. El inicio de la campaña, en agosto de 2025, pareció coincidir con sanciones internacionales contra hackers rusos.

Las autoridades de EE. UU. y Reino Unido, en colaboración con Microsoft, Lumen y otros socios, finalmente interrumpieron la infraestructura fraudulenta. El Centro Nacional de Ciberseguridad del Reino Unido publicó indicadores técnicos y recomendaciones de defensa para ayudar a las organizaciones a reforzar sus defensas. Esta intervención sigue a acciones previas de EE. UU. contra botnets rusos similares que apuntaban a enrutadores.

Reflexión

Esta operación subraya una realidad inquietante: el humilde enrutador doméstico es ahora un objetivo de primera línea en la ciberguerra global. A medida que los atacantes se vuelven más audaces y creativos, incluso los dispositivos cotidianos pueden convertirse en herramientas de espionaje internacional. El caso sirve como advertencia - y llamado a la vigilancia - para organizaciones e individuos por igual: en la era digital, la seguridad comienza en casa.

WIKICROOK

  • APT28: APT28, o Fancy Bear, es un grupo de hackers respaldado por el estado ruso, conocido por el ciberespionaje contra gobiernos y organizaciones occidentales.
  • Secuestro de DNS: El secuestro de DNS ocurre cuando los atacantes alteran en secreto la configuración de DNS, redirigiendo a los usuarios a sitios web falsos o dañinos sin su conocimiento para robar datos o propagar malware.
  • Enrutador SOHO: Un enrutador SOHO conecta dispositivos domésticos o de pequeñas oficinas a internet y suele ser objetivo de atacantes debido a configuraciones de seguridad débiles.
  • Adversario: Un adversario es cualquier persona o grupo que intenta vulnerar sistemas informáticos o datos, a menudo con fines maliciosos como robo o interrupción.
  • CVE: CVE, o Vulnerabilidades y Exposiciones Comunes, es un sistema para identificar y rastrear de manera única fallas de ciberseguridad conocidas públicamente en software y hardware.
Cyber Espionage APT28 DNS Hijacking
AGONY AGONY
Elite Offensive Security Commander
← Back to news