Hackers Rusos Están Secuestrando la Configuración DNS de Routers Domésticos

Hackers Militares Rusos Atacan Routers Domésticos y de Oficina

Una sofisticada campaña de secuestro de DNS vinculada al ejército ruso ha comprometido más de 5.000 dispositivos de consumo y más de 200 organizaciones, según nuevos informes de investigadores de ciberseguridad. El actor de amenazas detrás de los ataques, conocido como Forest Blizzard (también rastreado como APT28 o Strontium), tiene vínculos con la inteligencia militar rusa y ha participado en intrusiones de alto perfil durante años.

El método de ataque es sencillo pero muy efectivo. En lugar de apuntar directamente a computadoras o teléfonos individuales, el grupo modifica la configuración DNS en routers domésticos y de pequeñas oficinas. Una vez que un router queda comprometido, cada dispositivo conectado a él —laptops, teléfonos, televisores inteligentes, computadoras de trabajo— se convierte en un objetivo potencial.

Cómo Funciona Realmente el Secuestro de DNS

El DNS, o Sistema de Nombres de Dominio, se describe a veces como la guía telefónica de internet. Cuando escribe una dirección web en su navegador, su dispositivo consulta un servidor DNS para encontrar la dirección IP numérica que necesita para conectarse. En circunstancias normales, esa consulta va a un servidor DNS de confianza, generalmente uno proporcionado por su proveedor de servicios de internet.

Cuando los atacantes modifican la configuración DNS de un router, redirigen esas consultas hacia servidores que ellos controlan. Desde allí, pueden ver exactamente qué sitios está intentando visitar y, en algunos casos, interceptar el tráfico real. Los investigadores descubrieron que este método permitió a Forest Blizzard capturar datos en texto plano, incluyendo correos electrónicos y credenciales de inicio de sesión, de dispositivos conectados a los routers comprometidos.

Esto es particularmente preocupante porque muchos usuarios asumen que sus comunicaciones están protegidas simplemente porque utilizan sitios web HTTPS o servicios de correo electrónico cifrados. Pero cuando el DNS es secuestrado a nivel del router, los atacantes obtienen visibilidad sobre los flujos de tráfico y pueden, bajo ciertas condiciones, eliminar esa protección.

¿Quién es Forest Blizzard?

Forest Blizzard, también conocido por los alias APT28 y Strontium, es ampliamente atribuido a la agencia de inteligencia militar GRU de Rusia. El grupo ha sido vinculado a ataques contra agencias gubernamentales, contratistas de defensa, organizaciones políticas e infraestructura crítica en Europa y América del Norte.

Esta campaña representa un cambio de tácticas hacia la infraestructura de nivel consumidor. Los routers domésticos y de pequeñas oficinas son frecuentemente ignorados desde el punto de vista de la seguridad. Rara vez reciben actualizaciones de firmware, a menudo funcionan con credenciales predeterminadas y normalmente no son monitoreados por equipos de seguridad informática. Eso los convierte en puntos de entrada atractivos para un grupo que busca interceptar comunicaciones a gran escala.

Comprometer routers también permite a los atacantes mantener un acceso persistente. Incluso si se elimina el malware de un dispositivo individual, un router comprometido continúa redirigiendo el tráfico hasta que el propio router sea limpiado y reconfigurado.

Qué Significa Esto Para Usted

Si utiliza un router doméstico o de pequeña oficina estándar, esta campaña es directamente relevante para usted, incluso si no es empleado del gobierno ni un objetivo probable de espionaje. La escala del ataque —más de 5.000 dispositivos de consumo— sugiere que el alcance es amplio en lugar de quirúrgico.

Hay varios pasos prácticos que vale la pena tomar en respuesta a esta noticia.

Verifique la configuración DNS de su router. Inicie sesión en el panel de administración de su router (generalmente en 192.168.1.1 o 192.168.0.1) y compruebe que los servidores DNS listados sean los que reconoce y en los que confía. Si ve direcciones IP desconocidas que usted no configuró, eso es una señal de alerta.

Actualice el firmware de su router. Los fabricantes de routers publican periódicamente actualizaciones de firmware que corrigen vulnerabilidades de seguridad. Muchos routers tienen una opción para buscar actualizaciones directamente en el panel de administración. Si su router tiene varios años y el fabricante ya no lo admite, considere reemplazarlo.

Cambie la contraseña de administrador predeterminada de su router. Las credenciales predeterminadas son ampliamente conocidas y se encuentran entre las primeras cosas que prueban los atacantes. Una contraseña segura y única para la interfaz de administración de su router eleva significativamente la barrera de entrada.

Use una VPN con protección contra filtraciones de DNS. Una VPN enruta su tráfico, incluidas las consultas DNS, a través de un túnel cifrado hacia servidores fuera de su red local. Incluso si el DNS de su router ha sido manipulado, una VPN con protección adecuada contra filtraciones de DNS garantiza que sus consultas sean resueltas por los servidores del proveedor de VPN en lugar de los de un atacante. Esto no hace que un router comprometido sea seguro, pero limita significativamente lo que un atacante puede observar o interceptar.

Considere usar DNS cifrado de forma independiente. Los servicios que admiten DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT) cifran sus consultas DNS incluso sin una VPN, lo que dificulta su interceptación o redirección.

La campaña de Forest Blizzard es un recordatorio de que la seguridad de la red comienza en el router. Los dispositivos que conectan su hogar u oficina a internet merecen la misma atención que las computadoras y los teléfonos sobre su escritorio. Mantenerlos actualizados, correctamente configurados y monitoreados no es opcional —es la base sobre la que descansa todo lo demás. Si no ha revisado la configuración de su router recientemente, ahora es un buen momento para empezar.