APT28 convierte routers domésticos en una red global de espionaje

Trucoteca » Otros » APT28 convierte routers domésticos en una red global de espionaje

El uso de routers domésticos como herramienta de espionaje ha dejado de ser un escenario teórico para convertirse en una realidad incómoda. El grupo de ciberespionaje ruso APT28, también conocido como Fancy Bear, ha aprovechado fallos de seguridad en dispositivos instalados en hogares y pequeñas oficinas para redirigir el tráfico de internet de miles de usuarios en todo el mundo, incluida Europa y presumiblemente España.

Al manipular la configuración de estos equipos, los atacantes han logrado convertir la red doméstica en una puerta trasera hacia objetivos militares, gubernamentales y de infraestructuras críticas. El impacto va más allá del robo de contraseñas: cuestiona la confianza básica que depositamos en la conectividad de nuestros hogares y en un ecosistema IoT que, en muchos casos, permanece desprotegido.

Cómo APT28 secuestra routers domésticos y de oficina

La campaña atribuida a la Unidad Militar 26165 del GRU ruso se ha centrado en routers SOHO (Small Office / Home Office) de marcas populares como routers TP‑Link y MikroTik. Muchos de estos dispositivos seguían usando el firmware original sin actualizar o conservaban las credenciales de fábrica, lo que facilita el acceso remoto por parte de atacantes con conocimientos técnicos.

Una vez que APT28 lograba acceso administrativo al router, el siguiente paso era alterar los servidores DNS configurados en el dispositivo. El DNS funciona como una especie de guía telefónica de internet: traduce nombres de dominios legibles (por ejemplo, el correo corporativo o servicios en la nube) en direcciones IP numéricas. Si un atacante controla ese proceso, puede decidir a qué servidor se envía realmente al usuario.

En esta operación, el grupo ruso reconfiguraba el router para que las peticiones DNS pasaran por infraestructura bajo su control. Así, cuando un empleado intentaba acceder a su correo corporativo o a un servicio de autenticación, era redirigido de forma invisible a una copia fraudulenta de la web legítima. En esa página falsa introducía sus credenciales, tokens de sesión o códigos de acceso, que eran capturados sin levantar sospechas.

Según los análisis técnicos, el ataque seguía una lógica de embudo en varias fases. Primero, se comprometía de manera masiva el mayor número posible de routers expuestos, explotando vulnerabilidades conocidas en modelos concretos de TP-Link y MikroTik. Después, se filtraban las conexiones para detectar tráfico procedente de objetivos de interés —organismos públicos, fuerzas de seguridad, empresas estratégicas— y, solo entonces, se activaba la interceptación activa y la suplantación de servicios.

Una campaña global con impacto en Europa y España

Las investigaciones de organismos como el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), la división Black Lotus Labs de Lumen Technologies y equipos de Microsoft han puesto cifras a la magnitud de esta operación. Black Lotus Labs estima que Fancy Bear llegó a comprometer unos 18.000 dispositivos en alrededor de 120 países, mientras que Microsoft identificó más de 200 organizaciones y unos 5.000 routers de consumo afectados.

Entre los objetivos se encuentran ministerios de exteriores, agencias gubernamentales, cuerpos de seguridad y proveedores de correo electrónico, con una concentración significativa de víctimas en Norte de África, Centroamérica y el sudeste asiático. No obstante, también se han detectado casos en Europa, donde varias entidades públicas y privadas figuran entre los blancos priorizados por el grupo ruso.

Los informes señalan que routers situados en territorio español podrían haber formado parte de la red de dispositivos secuestrados, aunque la mayoría de las detecciones detalladas se han hecho públicas en otros continentes. En cualquier caso, la propia naturaleza del ataque —basado en vulnerabilidades de modelos de uso masivo— sugiere que la amenaza es relevante para hogares y pequeñas empresas españolas que no mantienen sus equipos al día.

La campaña no se ha limitado a la interceptación de datos individuales. Al controlar el tráfico DNS de miles de routers, los atacantes podían usar esta infraestructura para ocultar el origen real de sus operaciones, dirigir campañas de phishing selectivo y probar técnicas de suplantación de servicios críticos, lo que amplifica los riesgos para Europa en términos de espionaje, injerencia y seguridad nacional.

Operación Masquerade: respuesta del FBI y aliados

Ante la escala del secuestro de routers, el Departamento de Justicia de Estados Unidos y el FBI lanzaron una operación judicial para desmantelar parte de la infraestructura controlada por la Unidad 26165 del GRU. Esta operación, conocida internamente como «Masquerade», contó con la colaboración de empresas tecnológicas y socios internacionales en al menos 15 países.

Con autorización de los tribunales, el FBI envió comandos específicos a los routers comprometidos ubicados en territorio estadounidense. El objetivo era triple: recopilar evidencias de la actividad maliciosa, restaurar la configuración DNS legítima y cerrar las vías de acceso que permitían a los atacantes mantener el control de los dispositivos.

Las autoridades han subrayado que estas acciones se diseñaron como medidas técnicas preventivas, de forma que el funcionamiento normal de los equipos no se viera afectado. Los cambios introducidos se limitaron a bloquear la infraestructura de APT28 y a devolver los parámetros de red a un estado más seguro. Los usuarios, si lo desean, pueden revertirlos mediante un restablecimiento de fábrica o reconfigurando manualmente el router.

El caso de Masquerade pone de manifiesto que la lucha contra este tipo de amenazas requiere coordinación internacional y cooperación público-privada. Empresas como Microsoft y Lumen Technologies aportaron análisis, telemetría y herramientas para identificar los patrones de ataque, mientras que agencias de ciberseguridad de países europeos emitieron avisos para que organizaciones y ciudadanos revisaran la seguridad de sus redes domésticas y corporativas.

La fragilidad de la IoT y la confianza en el hogar conectado

Más allá de la dimensión técnica, este incidente ha vuelto a evidenciar hasta qué punto la digitalización del hogar se apoya en dispositivos poco protegidos. Routers, cámaras IP, asistentes de voz y otros aparatos conectados suelen instalarse con prisas, sin cambiar contraseñas por defecto ni activar funciones de actualización automática, lo que deja un amplio margen a los atacantes.

En este contexto, APT28 ha aprovechado hábitos inseguros muy extendidos: firmware sin actualizar durante años, puertos de administración expuestos y contraseñas triviales. La paradoja es que, mientras se habla de casas inteligentes y oficinas hiperconectadas, el eslabón que sostiene toda esa conectividad —el router— a menudo se trata como un simple «cacharro» que se deja en un rincón y no se vuelve a tocar.

Expertos en ciberseguridad europeos insisten en que es necesario un cambio cultural: se debe asumir que proteger el router es tan importante como cerrar la puerta con llave. Eso implica dedicar unos minutos a revisar la configuración, activar cifrado robusto en la red WiFi, deshabilitar accesos remotos innecesarios y, sobre todo, mantener el firmware al día siguiendo las indicaciones del fabricante o del proveedor de internet.

Al mismo tiempo, las autoridades y el sector tecnológico debaten el papel que pueden jugar herramientas de inteligencia artificial defensiva para detectar patrones anómalos en el tráfico de red, identificar cambios sospechosos en la configuración DNS y alertar a los usuarios de forma automatizada. Sin embargo, estas soluciones no sustituyen a las prácticas básicas de seguridad, sino que las complementan.

Recomendaciones para usuarios en España y Europa

Ante el panorama descrito, las agencias de ciberseguridad y los equipos de respuesta recomiendan una serie de medidas sencillas pero efectivas para reducir el riesgo de que un router doméstico o de pequeña oficina acabe secuestrado por actores como APT28:

• Actualizar el firmware del router a la versión más reciente disponible y comprobar periódicamente si hay nuevas versiones.
• Cambiar las credenciales por defecto de acceso al panel de administración por contraseñas largas y únicas.
• Revisar la configuración de DNS y asegurarse de que se utilizan servidores de confianza (del propio operador o proveedores reputados).
• Desactivar el acceso remoto a la administración del router si no es estrictamente necesario.
• Considerar el reemplazo de equipos antiguos o sin soporte de seguridad por modelos más recientes con actualizaciones garantizadas.
• Estar atento a comportamientos extraños en la red, como redirecciones inusuales, avisos de certificados inseguros o solicitudes repetidas de inicio de sesión.

En algunos países, los proveedores de servicios de internet están trabajando con las autoridades para notificar directamente a los clientes afectados y guiarles en el proceso de saneamiento de sus dispositivos. Aunque estas iniciativas aún son desiguales en Europa, van ganando peso a medida que se constata que los routers domésticos se han convertido en un objetivo prioritario para grupos de ciberespionaje.

El caso de APT28 y el secuestro de routers domésticos muestra cómo un dispositivo aparentemente sencillo puede convertirse en pieza clave de campañas globales de espionaje. La respuesta legal y técnica ha logrado desactivar parte de la infraestructura maliciosa, pero la amenaza persiste mientras continúen desplegados millones de equipos desactualizados y mal configurados en hogares y pequeñas oficinas de España, Europa y el resto del mundo.

Artículo relacionado:

Estados Unidos veta los routers domésticos fabricados fuera del país: impacto global y posibles efectos en Europa