La seguridad en casa ya no es solo cuestión de poner una contraseña fuerte en el WiFi. Esta semana, los investigadores de GreyNoise han detectado una intrusión masiva que afecta a varios modelos de routers ASUS, y el panorama es preocupante: más de 9.000 dispositivos han sido comprometidos y el número sigue creciendo. Lo más alarmante: ni siquiera reiniciarlos elimina la amenaza.
No es un ataque cualquiera: es una operación quirúrgica
Lo que parecía un caso más de fuerza bruta contra routers se ha convertido en algo mucho más serio. Este ataque está siendo ejecutado con una precisión que recuerda a las operaciones de inteligencia digital más sofisticadas. Los responsables no están lanzando malware común ni tratando de robar contraseñas. Están tomando el control del sistema desde adentro, dejando una puerta abierta para futuras operaciones a gran escala, posiblemente con fines de crear una botnet para ataques DDoS.
Y aquí viene lo que más preocupa: usan técnicas que no han sido oficialmente registradas, lo que las hace especialmente difíciles de detectar por los sistemas de seguridad tradicionales.
¿Cómo lo hacen? Como verdaderos ninjas digitales
El acceso inicial ocurre a través de intentos automatizados de adivinar contraseñas, una práctica vieja conocida en el mundo de la ciberseguridad. Pero lo que viene después es lo que marca la diferencia. Los atacantes aprovechan una vulnerabilidad ya conocida, CVE-2023-39780, para ejecutar comandos dentro del router y modificar su configuración. No instalan software espía ni virus. En lugar de eso, habilitan el acceso remoto por SSH en un puerto poco común (TCP/53282) y escriben una clave digital en la memoria NVRAM, esa parte del hardware que ni los reinicios ni las actualizaciones de firmware logran borrar.
El resultado: un acceso invisible y permanente. Como si alguien más tuviera una copia de tu llave y tú no lo supieras.
Modelos afectados y métodos dignos de una serie de espías
Entre los dispositivos confirmados están los ASUS RT-AC3100, RT-AC3200 y RT-AX55, aunque no se descarta que haya muchos más modelos en la mira. GreyNoise no ha atribuido aún la operación a un grupo específico, pero las tácticas empleadas —ocultamiento de registros, uso de herramientas legítimas del sistema, y cero rastros de malware— coinciden con las metodologías de grupos APT (Amenazas Persistentes Avanzadas), conocidos por trabajar con recursos de nivel estatal o corporativo.
Este tipo de ataques suelen estar diseñados con fines muy específicos, como vigilancia encubierta o sabotaje digital. No estamos hablando de un hacker en el sótano: esto es trabajo de profesionales bien financiados.
¿Te hackearon el router? Aquí tienes cómo saberlo
ASUS ya ha publicado una actualización para corregir la vulnerabilidad, pero si el router fue intervenido antes de aplicarla, el acceso remoto puede seguir activo. Aquí algunos pasos clave para revisarlo:
- Entra a la configuración de tu router y revisa si hay acceso SSH habilitado en el puerto TCP/53282.
- Examina el archivo llamado
authorized_keys. Si ves una clave que no agregaste tú… malas noticias. - Bloquea estas IPs manualmente:
101.99.91.151,101.99.94.173,79.141.163.179y111.90.146.237. - Si tienes sospechas, lo más seguro es hacer un reseteo total de fábrica y volver a configurar todo desde cero (sí, un dolor, pero necesario).
Un recordatorio para todos los fans del gaming y la tecnología
Como entusiastas del hardware —sea que uses un router ASUS para reducir el ping en el competitivo de Valorant, o porque simplemente quieres exprimir tu conexión de fibra para tus juegos en la Xbox Series X, PS5 o la Nintendo Switch— este tipo de noticias nos caen como un baldazo de agua fría. Confiamos en nuestros dispositivos, pero esta es una prueba más de que no podemos dar por sentada la seguridad en casa.
Ojalá ASUS no solo saque más parches, sino también herramientas más accesibles para detectar estas intrusiones sin que tengamos que convertirnos en técnicos de redes. Mientras tanto, ya sabes: actualiza, revisa y protege tu setup. Incluso el router es parte del equipo.
¿Y tú? ¿Ya verificaste si tu router está en la lista de los vulnerables o sigues confiando en que el LED verde lo mantiene todo a salvo?
