Esta semana se ha conocido que miles de routers Asus antiguos han sido comprometidos por un grupo vinculado a intereses estatales asiáticos.
El incidente afecta especialmente a dispositivos que ya no reciben soporte técnico, lo que los convierte en puertas de entrada especialmente fáciles para operaciones encubiertas.
A pesar de la magnitud del ataque, todavía se desconoce qué planean realmente los responsables, lo que añade un nivel adicional de incertidumbre.
Los investigadores que han seguido de cerca la campaña, bautizada como WrtHug, llevan semanas monitorizando la actividad y han reunido evidencias de que los atacantes han tomado control total de miles de equipos en una operación silenciosa.
Lo más preocupante es que muchos usuarios podrían no tener la menor idea de que su router está actuando como herramienta para actividades clandestinas.
Qué es lo que hace tan atractivo el ciberataque a los routers Asus
Los especialistas de SecurityScorecard han señalado que los dispositivos implicados pertenecen a modelos sin soporte desde hace años, lo que implica ausencia de parches y un gran número de vulnerabilidades sin corregir.
Este escenario facilita que actores avanzados puedan adentrarse en ellos sin demasiada resistencia. Según el análisis disponible, los responsables podrían estar empleando estos routers del mismo modo en que se utilizan los nodos de las llamadas redes ORB.
Ese tipo de infraestructura ha sido empleada anteriormente por grupos de espionaje para ocultar movimientos, enmascarar la identidad del origen del tráfico y facilitar operaciones que requieren sigilo extremo.
El acceso profundo que han obtenido en estos routers les permitiría convertirlos en plataformas desde las que ejecutar actividades discretas sin levantar sospechas. De hecho, el propio diseño de los dispositivos domésticos, con su bajo consumo y su presencia común en hogares y pequeñas oficinas, los convierte en un disfraz casi perfecto para acciones que requieren pasar desapercibido.
La distribución geográfica de los routers comprometidos también ha llamado la atención. El mayor número se localiza en Taiwán, seguido de grupos más reducidos en Japón, Corea del Sur, Hong Kong, Rusia, varios países europeos y Estados Unidos.
Esta dispersión sugiere un interés específico en zonas con relevancia estratégica, lo que refuerza la hipótesis de que no se trata de una simple campaña criminal automatizada.
Un ataque silencioso con técnicas pulidas
Una de las tácticas empleadas durante el proceso de intrusión consiste en mostrar a los usuarios un cuadro de diálogo que les solicita aceptar un certificado TLS autofirmado.
Esto forma parte de los mecanismos habituales de administración web de los routers, por lo que muchos usuarios lo aceptan sin cuestionarlo.
Sin embargo, en este caso se trata de un certificado claramente anómalo, con fecha de expiración fijada en el año 2122 y con campos identificativos compuestos únicamente por letras repetidas. Este certificado permite a los atacantes establecer comunicaciones cifradas con el dispositivo empleando credenciales que aparentan ser legítimas.
Los expertos han observado además que la campaña aprovecha funciones de AICloud, un servicio proporcionado por Asus que habilita el acceso remoto a archivos.
Esto ofrece un vector de entrada adicional y se convierte en herramienta útil para que los responsables mantengan persistencia sin ser detectados con facilidad.
A pesar de ello, no se han identificado aún acciones posteriores a la explotación que permitan determinar el propósito final. Algunas pistas apuntan a modificaciones volátiles del sistema que desaparecen tras reiniciar el equipo, lo que indica una intención real de evitar rastros duraderos.
El investigador Marty Kareem ha explicado que los atacantes podrían estar operando con modificaciones en el núcleo del sistema o directamente con cambios en el propio sistema operativo del router.
Aunque todavía no hay una respuesta definitiva sobre cómo se desarrolla toda la cadena de infección, sí se sabe que han conseguido privilegios administrativos equivalentes a los del propio propietario, algo que él mismo describe como una cantidad absurda de control.
Cómo saber si tu router Asus es una de las víctimas
Los modelos identificados como objetivo de esta campaña incluyen dispositivos como el Asus 4G-AC55U, el 4G-AC860U, el DSL-AC68U, los GT-AC5300 y GT-AX11000, así como los RT-AC1200HP, RT-AC1300GPLUS y RT-AC1300UHP.
Todos ellos comparten la característica de haber quedado fuera del ciclo de soporte oficial, lo que los vuelve especialmente vulnerables.
Para comprobar si uno de estos routers ha sido manipulado, los analistas recomiendan revisar el certificado autofirmado instalado en el equipo.
Si el documento muestra una validez hasta el año 2122 y contiene identificadores compuestos únicamente por la letra “a”, existe una alta probabilidad de que el dispositivo esté involucrado en la operación WrtHug. También hay otros indicios documentados por SecurityScorecard que los usuarios avanzados pueden inspeccionar para obtener señales adicionales.
Qué debes hacer a partir de hoy si tienes este router
Los especialistas enfatizan que seguir utilizando equipos que hayan llegado al fin de su vida útil supone un riesgo considerable. La ausencia de actualizaciones facilita que ataques de este tipo proliferen sin que los usuarios sean conscientes. La recomendación principal es sustituir cuanto antes estos routers por modelos actuales que aún reciban correcciones de seguridad de manera regular.
Además, resulta prudente desactivar servicios remotos o funciones que no sean estrictamente necesarias.
Eliminar acceso por AICloud, deshabilitar administración remota, evitar UPnP y cerrar servicios como SSH o el reenvío de puertos reduce significativamente la superficie de ataque.
Estas prácticas no solo benefician a los modelos afectados, sino que sirven también como prevención general para cualquier tipo de dispositivo conectado.
