El router suele ser uno de los dispositivos más olvidados de una casa o una oficina. Se instala, se comprueba que ofrece conexión y puede permanecer funcionando durante años sin recibir actualizaciones ni cambios en su configuración.
Esa falta de mantenimiento lo convierte en un objetivo especialmente útil para los ciberdelincuentes. Un router vulnerable no solo puede permitir el acceso a una red, sino que también puede utilizarse como intermediario para ocultar el verdadero origen de otros ataques.
Una advertencia conjunta publicada el 13 de julio de 2026 señala que actores vinculados al Centro 16 del Servicio Federal de Seguridad de Rusia, conocido como FSB, están explotando dispositivos de red vulnerables o configurados de forma insegura en distintos países. La alerta fue respaldada por 18 organismos de 12 naciones, entre ellos Estados Unidos, Reino Unido, Australia, Canadá y Nueva Zelanda.
El ataque parece proceder de una conexión legítima
El objetivo de los atacantes no siempre es espiar directamente a los propietarios de los routers. En muchos casos, buscan incorporar esos equipos a una infraestructura distribuida desde la que puedan realizar nuevas operaciones.
Una vez comprometido, el router puede actuar como un proxy: recibe el tráfico del atacante y lo reenvía hacia el objetivo. De esta forma, la dirección visible no pertenece a un servidor asociado con Rusia, sino a una vivienda, una pequeña empresa o una organización aparentemente legítima.
Este mecanismo dificulta los bloqueos automáticos basados en direcciones IP. También complica las investigaciones, porque el último dispositivo visible en la ruta no es necesariamente el sistema desde el que comenzó el ataque.
Aunque suele utilizarse el término “proxy residencial”, la advertencia afecta principalmente a routers y equipos de red expuestos, que pueden encontrarse tanto en hogares como en empresas y organizaciones.
Los atacantes buscan routers con configuraciones débiles
Según las autoridades, los actores del Centro 16 recorren Internet en busca de dispositivos que mantengan activado el protocolo SNMP con contraseñas, credenciales o “community strings” predeterminadas y fáciles de adivinar.
SNMP, siglas de Simple Network Management Protocol, se utiliza para consultar el estado de routers, servidores, impresoras y otros dispositivos. También permite administrar algunos de sus parámetros de forma remota.
El protocolo no es peligroso por sí mismo. El problema aparece cuando sus versiones antiguas están expuestas directamente a Internet y protegidas únicamente por valores que nunca fueron modificados después de instalar el equipo.
Los atacantes también han aprovechado vulnerabilidades conocidas en dispositivos Cisco, la función Smart Install y fallos en portales de administración web. Esto significa que desactivar SNMP puede reducir una parte del riesgo, pero no sustituye las actualizaciones ni una revisión completa de la configuración.
Una red que puede reconstruirse constantemente
Cada router comprometido puede servir para ocultar nuevas exploraciones, conectarse con otros dispositivos vulnerables o actuar como último nodo antes de alcanzar una red objetivo.
La infraestructura resultante es difícil de eliminar por completo. Aunque las autoridades o los fabricantes logren desinfectar una parte de los equipos, los operadores pueden sustituirlos incorporando nuevos routers abandonados, desactualizados o mal configurados.
El Centro 16, también identificado con nombres como Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard y Static Tundra, ha dirigido su actividad contra sectores como comunicaciones, defensa, energía, finanzas, gobiernos y sanidad.
Esto no significa que cada router comprometido se utilice inmediatamente para provocar un ataque destructivo. Puede servir primero para reconocer una red, recopilar información, probar credenciales o preparar operaciones posteriores.
🚨 EE. UU. acusa a tres ciudadanos rusos de facilitar ciberataques con daños por USD $62 millones.
Los acusados, Alexander Volosovik, Kirill Zatolokin y Yulia Pankova, enfrentan cargos de hackeo y lavado de dinero.
Sus empresas, Media Land y https://t.co/IXnKynWBtX, ofrecieron… pic.twitter.com/MexDhXD46K
— Diario฿itcoin (@DiarioBitcoin) July 15, 2026
Cómo evitar que un router se convierta en una herramienta
Las recomendaciones están dirigidas principalmente a administradores de redes empresariales e infraestructuras críticas, pero varias también son útiles para pequeños negocios.
Las autoridades aconsejan desactivar SNMPv1 y SNMPv2, ya que carecen de las protecciones modernas incorporadas en SNMPv3. Cuando el protocolo no sea necesario, la opción más segura es deshabilitarlo completamente. Si debe utilizarse, su acceso debería limitarse a direcciones y redes autorizadas.
También conviene reemplazar las credenciales predeterminadas, instalar las últimas actualizaciones del firmware, desactivar Cisco Smart Install cuando no se utilice y evitar que los paneles de administración sean accesibles desde Internet.
En los routers domésticos, las opciones avanzadas pueden depender del operador y del fabricante. Aun así, cambiar la contraseña de administración, actualizar el equipo y sustituir modelos que ya no reciben soporte son medidas básicas.
El router puede funcionar correctamente y, al mismo tiempo, estar siendo utilizado en segundo plano. Esa es precisamente la ventaja que buscan los atacantes: convertir un dispositivo cotidiano y aparentemente inocente en el escondite perfecto para sus operaciones.