Ciberseguridad

El FBI Desmantela una Red de Routers de Secuestro de DNS del GRU Ruso

8 de abril de 20264 min de lectura

El FBI y el DOJ Desmantelan la Red de Routers de la Inteligencia Militar Rusa

El Departamento de Justicia de EE. UU. y el FBI anunciaron el 7 de abril de 2026 que habían completado una operación autorizada judicialmente para desmantelar una red de routers comprometidos que estaba siendo utilizada por una unidad dentro de la Dirección de Inteligencia Principal de Rusia, más conocida como el GRU. La operación tuvo como objetivo miles de routers de pequeñas oficinas y oficinas domésticas (SOHO) que habían sido secuestrados silenciosamente para llevar a cabo ataques de secuestro de DNS contra personas y organizaciones en los sectores militar, gubernamental y de infraestructura crítica.

La escala y el método de la operación ofrecen una ventana clara hacia la forma en que los actores patrocinados por estados explotan el hardware de consumo desatendido para llevar a cabo sofisticadas campañas de recopilación de inteligencia.

Cómo Funcionó el Ataque de Secuestro de DNS

La unidad del GRU explotó vulnerabilidades conocidas en los routers TP-Link, una marca que se encuentra comúnmente en hogares y pequeñas empresas de todo el mundo. Una vez dentro de un dispositivo, los atacantes manipulaban su configuración de DNS. El DNS, o Sistema de Nombres de Dominio, es el proceso que traduce una dirección web como "ejemplo.com" en la dirección IP numérica que las computadoras utilizan para conectarse. Funciona, esencialmente, como la guía de direcciones de internet.

Al cambiar la configuración de DNS en los routers comprometidos, el GRU era capaz de redirigir el tráfico a través de servidores bajo su control, sin que el propietario del dispositivo se diera cuenta en ningún momento. Esta técnica se conoce como ataque de Actor-en-el-Medio. Cuando las víctimas intentaban visitar sitios web legítimos o iniciar sesión en sus cuentas, sus solicitudes eran redirigidas silenciosamente. Dado que gran parte de este tráfico no estaba cifrado, los atacantes podían obtener contraseñas, tokens de autenticación y contenido de correos electrónicos en texto plano.

Las víctimas no estaban haciendo nada incorrecto necesariamente. Usaban sus routers habituales y visitaban sitios web normales. El ataque ocurrió a nivel de infraestructura, por debajo de la visibilidad de la mayoría de los usuarios e incluso de muchos equipos de TI.

Por Qué los Routers SOHO Son un Objetivo Persistente

Los routers de pequeñas oficinas y oficinas domésticas se han convertido en un punto de entrada favorito para actores de amenazas sofisticados por varias razones. Son numerosos, a menudo están mal mantenidos y rara vez se monitorizan. Las actualizaciones de firmware en los routers de consumo son poco frecuentes, y muchos usuarios nunca cambian las credenciales predeterminadas ni revisan la configuración del dispositivo tras la configuración inicial.

Esta no es la primera vez que el FBI ha tenido que intervenir para limpiar redes de routers comprometidos. Operaciones similares han tenido como objetivo infraestructuras de botnets en años anteriores, involucrando hardware de múltiples fabricantes. La persistencia de este vector de ataque refleja un problema estructural: los routers se ubican en el límite de cada red, pero reciben mucha menos atención en materia de seguridad que los dispositivos que están detrás de ellos.

La operación autorizada judicialmente del Departamento de Justicia implicó modificar de forma remota los routers comprometidos para cortar el acceso del GRU y eliminar las configuraciones maliciosas. Este tipo de intervención es poco común y requiere aprobación judicial, lo que indica con qué seriedad las autoridades estadounidenses consideraban la amenaza.

Qué Significa Esto Para Usted

Si utiliza un router de consumo en casa o en una pequeña oficina, esta operación es una señal directa de que su hardware puede convertirse en parte de una operación de inteligencia sin su conocimiento ni participación. El ataque no requirió que las víctimas hicieran clic en un enlace malicioso ni descargaran nada. Solo requirió que su router ejecutara firmware vulnerable y que su tráfico de internet fluyera a través de él sin cifrar.

Existen medidas concretas que vale la pena tomar en respuesta a esta noticia.

En primer lugar, compruebe si su router tiene actualizaciones de firmware disponibles y aplíquelas. Los fabricantes de routers parchean regularmente las vulnerabilidades conocidas, pero esos parches solo son útiles si se instalan. Muchos routers permiten habilitar las actualizaciones automáticas a través de su interfaz de configuración.

En segundo lugar, cambie las credenciales de inicio de sesión predeterminadas de su router. Un gran número de dispositivos comprometidos en operaciones como esta son accedidos utilizando nombres de usuario y contraseñas predeterminados de fábrica que están documentados públicamente.

En tercer lugar, considere qué aspecto tiene su tráfico de internet al salir de su router. El tráfico no cifrado, ya sean conexiones HTTP, algunos protocolos de correo electrónico o ciertas comunicaciones de aplicaciones, puede ser leído si su DNS está siendo redirigido. El uso de protocolos DNS cifrados como DNS-over-HTTPS (DoH) o DNS-over-TLS (DoT) garantiza que sus propias consultas DNS no puedan ser interceptadas ni manipuladas por un router comprometido o por un servidor a través del cual enruta el tráfico.

En cuarto lugar, una VPN puede proporcionar una capa adicional de protección al cifrar el tráfico entre su dispositivo y un servidor de confianza antes de que llegue a su router o a su proveedor de servicios de internet. Esto significa que, incluso si el DNS de su router ha sido manipulado, el contenido de su tráfico permanece ilegible para cualquiera que se encuentre entre usted y su destino.

Ninguna de estas medidas es compleja ni costosa, pero la operación del GRU demuestra claramente que el tráfico no cifrado y el hardware sin parches crean una exposición real para personas reales, no solo un riesgo abstracto.

La intervención del FBI desmanteló esta red en particular, pero las vulnerabilidades subyacentes en el hardware de los routers de consumo permanecen. Mantenerse informado y tomar medidas de protección básicas es la respuesta más práctica ante una superficie de ataque que es poco probable que desaparezca.

// FAQ

¿Qué routers fueron el objetivo de la operación de secuestro de DNS del GRU?

La unidad del GRU explotó vulnerabilidades conocidas específicamente en los routers TP-Link, una marca que se encuentra comúnmente en hogares y pequeñas empresas de todo el mundo.

¿Qué es un ataque de Actor-en-el-Medio?

Un ataque de Actor-en-el-Medio es una técnica en la que los atacantes redirigen el tráfico de internet de las víctimas a través de servidores bajo su control sin que el propietario del dispositivo lo sepa, lo que les permite interceptar datos no cifrados como contraseñas y contenido de correos electrónicos.

¿Quiénes fueron los objetivos de los ataques de secuestro de DNS?

Los ataques tuvieron como objetivo a personas y organizaciones en los sectores militar, gubernamental y de infraestructura crítica.

¿Cómo desmantelaron el FBI y el DOJ la red de routers del GRU?

El Departamento de Justicia llevó a cabo una operación autorizada judicialmente que implicó modificar de forma remota los routers comprometidos para cortar el acceso del GRU y eliminar las configuraciones maliciosas.

¿Por qué se consideran los routers SOHO un objetivo atractivo para los actores de amenazas?

Los routers SOHO son numerosos, rara vez se monitorizan y a menudo están mal mantenidos, con actualizaciones de firmware poco frecuentes y muchos usuarios que nunca cambian las credenciales predeterminadas tras la configuración inicial.

El FBI y el DOJ Desmantelan la Red de Routers de la Inteligencia Militar Rusa

Cómo Funcionó el Ataque de Secuestro de DNS

Por Qué los Routers SOHO Son un Objetivo Persistente

Qué Significa Esto Para Usted

// FAQ

// Relacionados