Hackers rusos secuestraron miles de routers domésticos para robar contraseñas

En una operación de escala internacional, un grupo de hackers vinculados al gobierno de Rusia ha logrado comprometer miles de routers de hogares y pequeñas empresas en todo el mundo. El objetivo de la campaña, que ha durado años, era redirigir el tráfico de internet de las víctimas para robar credenciales de acceso y tokens de seguridad.

Los responsables: El grupo “Fancy Bear”

Detrás del ataque se encuentra la unidad de élite Fancy Bear (también conocida como APT 28), ampliamente vinculada a la agencia de inteligencia militar rusa, GRU. Este grupo es el mismo responsable de hackeos históricos como el del Comité Nacional Demócrata en 2016 y el ataque al proveedor de satélites Viasat en 2022.

Detalles técnicos del ataque:

• Objetivos: Routers domésticos y de PyMEs de las marcas MikroTik y TP-Link.
• Vulnerabilidad: Los hackers aprovecharon dispositivos que no estaban actualizados (unpatched), utilizando fallas de seguridad que ya habían sido reportadas anteriormente.
• El método: Modificaban la configuración de los routers para redirigir las solicitudes de internet a servidores bajo su control. De esta manera, podían enviar a las víctimas a versiones falsas de sitios web y capturar sus contraseñas sin necesidad de vulnerar el segundo factor de autenticación (2FA).

Escala del impacto

Según las investigaciones de Black Lotus Labs y el NCSC (Reino Unido), el alcance de la operación es masivo:

• Víctimas: Al menos 18.000 afectados en más de 120 países.
• Sectores atacados: Además de usuarios hogareños, se identificaron brechas en departamentos gubernamentales, agencias de aplicación de la ley y proveedores de correo electrónico en el norte de África, Centroamérica y el sudeste asiático.
• Microsoft informó haber detectado más de 5.000 dispositivos de consumo y 200 organizaciones afectadas directamente por estas maniobras de espionaje.

La contraofensiva: Desmantelamiento del FBI

El Departamento de Justicia de los Estados Unidos y el FBI, en colaboración con empresas privadas como Lumen, lanzaron una contraofensiva para neutralizar la red de dispositivos infectados (botnet).

1. Neutralización remota: Gracias a una autorización judicial, el FBI desarrolló una serie de comandos enviados directamente a los routers comprometidos en suelo estadounidense para resetear su configuración y expulsar a los hackers.
2. Cierre de dominios: Se bloquearon los sitios web que los atacantes utilizaban para el robo de datos.
3. Prevención: Las autoridades recalcaron que estas operaciones suelen ser “oportunistas”, lanzando una red amplia para luego centrarse en objetivos de mayor interés de inteligencia.

¿Cómo protegerse?

Los expertos en ciberseguridad instan a los usuarios de routers domésticos a:

• Actualizar el firmware de sus dispositivos de inmediato.
• Cambiar las contraseñas predeterminadas de administración del router.
• Deshabilitar la administración remota a través de internet.