El Buró Federal de Investigaciones (FBI) de Estados Unidos, en colaboración con diversas agencias de inteligencia internacionales, emitió una advertencia de seguridad señalando que un grupo de hackers vinculado a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de Rusia (GRU) está aprovechando vulnerabilidades en routers a nivel global para robar información confidencial de sectores militares, gubernamentales y de infraestructura crítica.
Este grupo, conocido en el ámbito de la ciberseguridad como "APT28", "Fancy Bear" o "Forest Blizzard", ha estado operando desde 2024 atacando routers de marcas como TP-Link. Los atacantes explotan una vulnerabilidad identificada como CVE-2023-50224 para obtener acceso y control total sobre los dispositivos.
Secuestro de DNS y ataques de intermediario (Man-in-the-Middle)
Los atacantes manipulan la configuración del Protocolo de Configuración Dinámica de Host (DHCP) y del Sistema de Nombres de Dominio (DNS) de los routers infectados para redirigir el tráfico hacia servidores bajo su control. Los dispositivos conectados a estos routers, como teléfonos móviles y computadoras, heredan automáticamente estas configuraciones maliciosas, lo que provoca que todas las solicitudes de red sean interceptadas.
De esta manera, los hackers pueden enviar respuestas DNS falsificadas para dirigir a los usuarios a sitios web maliciosos. Si el usuario ignora las advertencias de seguridad del navegador y continúa la navegación, los atacantes logran interceptar el tráfico cifrado, lo que les permite robar contraseñas, tokens de autenticación y correos electrónicos.
El Departamento de Justicia y el FBI lograron recientemente desmantelar la infraestructura maliciosa que este grupo utilizaba para llevar a cabo estos ataques de secuestro de DNS. La operación contó con el apoyo de agencias de inteligencia de países como Canadá, Alemania, Noruega y Ucrania.
El FBI recomienda a los usuarios de routers domésticos y de pequeñas oficinas (SOHO) tomar medidas preventivas de inmediato, tales como actualizar el firmware a la versión más reciente, cambiar las credenciales de acceso predeterminadas y desactivar los puertos de gestión remota. Para aquellos dispositivos antiguos que ya no cuentan con soporte técnico, las autoridades recomiendan encarecidamente su reemplazo.
Para los usuarios corporativos, el FBI sugiere revisar las políticas de seguridad para el trabajo remoto y exigir que los empleados utilicen una Red Privada Virtual (VPN) para acceder a datos sensibles. Si una institución o individuo sospecha que ha sido blanco de estos ataques, debe presentar un informe detallado ante su oficina local del FBI o a través del Centro de Quejas de Delitos en Internet (IC3), especificando el modelo del router y la configuración utilizada.