Los routers olvidados de TP-Link: cómo los dispositivos obsoletos se convirtieron en minas de oro para hackers

Se suponía que sería solo otro relicto acumulando polvo en la estantería: un viejo router TP-Link, hace tiempo reemplazado en el catálogo de la compañía. Pero para los ciberdelincuentes, estos dispositivos olvidados se han convertido en un nuevo frente en la batalla constante por el control del lado oscuro de internet. Mientras los investigadores de seguridad dan la voz de alarma ante renovados intentos de explotación, surge la pregunta: ¿cuántos routers vulnerables siguen conectando silenciosamente hogares y empresas, esperando ser secuestrados?

Según una nueva investigación de Unit 42 de Palo Alto Networks, los atacantes están intentando activamente explotar una vulnerabilidad crítica de inyección de comandos en varios routers TP-Link sin soporte. La falla, revelada por primera vez a mediados de 2023 y rastreada como CVE-2023-33538, permite a los hackers ejecutar comandos arbitrarios si logran acceso autenticado a la interfaz de administración del dispositivo.

Si bien la telemetría de Unit 42 muestra intentos de explotación a gran escala, los investigadores señalan que estos ataques aún no han resultado en compromisos exitosos. ¿Las señales reveladoras? Cargas útiles que se asemejan mucho a las utilizadas por las infames botnets Mirai, que anteriormente han esclavizado millones de dispositivos del Internet de las Cosas (IoT) para lanzar enormes ataques distribuidos de denegación de servicio (DDoS).

Lo que hace que esta ola sea especialmente preocupante es el objetivo: routers que han alcanzado su estado de “fin de vida útil”. TP-Link ya no ofrece soporte oficial para estos modelos, lo que significa que no hay parches, ni actualizaciones de seguridad, ni ayuda para los usuarios que aún dependen de ellos. La compañía insta a los clientes a reemplazar estos routers de inmediato y advierte contra dejar las contraseñas predeterminadas - un error común que puede entregarles a los hackers las llaves del reino.

No es la primera vez que el hardware de TP-Link está bajo escrutinio. En octubre pasado, Forescout Research reveló fallas críticas en la línea Omada de la compañía, mientras que a principios de 2025 se detectó una campaña de botnet dirigida a routers TP-Link Archer en EE. UU. El patrón es claro: el equipamiento de red obsoleto sigue siendo un eslabón débil persistente en las defensas digitales, especialmente a medida que los atacantes automatizan cada vez más sus búsquedas de dispositivos vulnerables.

Para los usuarios, la lección es simple pero urgente. Los dispositivos sin soporte son más que obsoletos: son posibles puntos de entrada para el cibercrimen sofisticado. El ataque persistente a los routers TP-Link es una señal de advertencia para cualquiera que siga utilizando hardware antiguo: el costo de la conveniencia puede ser más alto de lo que imaginas.

A medida que los ciberdelincuentes continúan buscando tecnología olvidada y desprotegida, la seguridad de nuestra infraestructura digital depende de una vigilancia proactiva. En una era donde los dispositivos de ayer pueden alimentar los ataques de mañana, ignorar las advertencias de fin de vida útil es un riesgo que pocos pueden permitirse.

WIKICROOK

• Fin: El cifrado de extremo a extremo es un método de seguridad donde solo el remitente y el destinatario pueden leer los mensajes, manteniendo los datos privados frente a proveedores de servicios y hackers.
• Inyección de comandos: La inyección de comandos es una vulnerabilidad donde los atacantes engañan a los sistemas para ejecutar comandos no autorizados insertando entradas maliciosas en campos o interfaces de usuario.
• Botnet Mirai: Mirai es un malware que secuestra dispositivos IoT, creando redes utilizadas para ataques DDoS a gran escala contra sitios web y servicios en línea.
• Credenciales predeterminadas: Las credenciales predeterminadas son nombres de usuario y contraseñas preestablecidos en dispositivos o software, a menudo no cambiados y fácilmente adivinados por atacantes, lo que representa un riesgo de seguridad.
• Denegación distribuida: Un ataque de Denegación de Servicio Distribuida (DDoS) satura un servidor con tráfico falso, haciendo que sitios web o servicios sean inaccesibles para usuarios legítimos.