Los routers Asus son muy populares por su calidad y rendimiento. Sin embargo, recientemente se han convertido en el blanco de una campaña de ciberataques altamente sofisticada. Si tienes uno en tu red doméstica, es fundamental que lo revises cuanto antes.
¿Qué ocurrió con los routers Asus?
La firma de ciberseguridad GreyNoise emitió una alerta tras descubrir una campaña activa de ciberataques que ha comprometido a miles de routers Asus en redes domésticas. Según el informe, los atacantes accedieron a los dispositivos mediante ataques de fuerza bruta (probando millones de combinaciones de contraseñas) y técnicas avanzadas de elusión de autenticación, es decir, métodos para evitar los sistemas de seguridad sin ser detectados. Todo esto explotando una vulnerabilidad crítica identificada como CVE-2023-39780, que afectaba directamente al firmware de estos routers.
Una vez que los cibercriminales lograban acceso, habilitaban el protocolo SSH (Secure Shell) desde el panel de configuración del router, lo que les permitía control remoto completo del dispositivo. Además, guardaban una puerta trasera oculta dentro de la NVRAM (memoria no volátil), lo que les aseguraba persistencia incluso después de reinicios o actualizaciones. Para complicar aún más la detección, no instalaron malware convencional y desactivaron los registros del sistema, volviendo el ataque prácticamente invisible para el usuario promedio.
¿Quiénes están detrás del ataque?
Aunque aún no hay una atribución oficial, GreyNoise sugiere que el método de ataque es similar al de grupos APT (Amenazas Persistentes Avanzadas), conocidos por su alto nivel de sofisticación y recursos. La combinación de persistencia, sigilo y uso de funciones internas del sistema sugiere una operación muy bien organizada.
¿Cómo se detectó la vulnerabilidad?
GreyNoise utilizó su IA llamada Sift, que detectó tráfico anómalo en marzo. Gracias al uso de routers Asus emulados con firmware original, pudieron reproducir el ataque y documentar la forma exacta en que se establecía la puerta trasera.
Según datos de Censys, una herramienta que monitorea dispositivos conectados a internet, más de 9000 routers Asus están afectados y el número sigue aumentando. Al momento de redactar este artículo, se registran 9022 routers comprometidos.
¿Cómo proteger tu router Asus ahora?
Asus ha lanzado una actualización de firmware que corrige la vulnerabilidad. No obstante, si tu router ya fue comprometido antes de actualizarlo, los atacantes podrían seguir teniendo acceso. Por eso, es fundamental seguir estos pasos:
1. Verifica si tienes un router Asus
Accede a www.asusrouter.com o introduce la IP del router en tu navegador. Inicia sesión con tu nombre de usuario y contraseña. Si es la primera vez, deberás configurar tu cuenta.
2. Revisa si el router fue comprometido
Busca la opción "Habilitar SSH" en el panel de configuración (puede estar en Servicio o Administración). Si ves que hay acceso habilitado al puerto 53828 y una clave pública como:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Tu router ha sido hackeado.
3. Desactiva el acceso SSH y bloquea direcciones IP sospechosas
Bloquea los siguientes rangos IP directamente desde la configuración del router:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
4. Restaura el router a estado de fábrica
Importante: El parche de seguridad no elimina la puerta trasera si ya está instalada. La única forma segura de eliminarla es restaurar el router completamente a sus valores de fábrica.
5. Actualiza el firmware
Una vez hecho el restablecimiento, asegúrate de instalar la última actualización de firmware para protegerte de futuros ataques. Si tu router no fue afectado, actualízalo igualmente para prevenir accesos no autorizados.
Conclusión
Los ataques a routers domésticos ya no son casos aislados. Si eres usuario de Asus, es imprescindible que verifiques la integridad de tu equipo. Con unos pocos pasos, puedes evitar que tu red sea controlada por atacantes remotos.
Recuerda: mantén tu firmware actualizado, cambia contraseñas predeterminadas y revisa regularmente los registros de acceso de tu router.
