CISA advierte: el FSB ruso usa routers mal configurados en todo el mundo como refugio para sus ciberoperaciones

Wait 5 sec.

El 13 de julio de 2026, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) publicó una alerta conjunta con organismos de Australia, Dinamarca, Nueva Zelanda y Reino Unido: actores del Centro 16 del FSB —el servicio de inteligencia exterior ruso— están comprometiendo routers domésticos y de oficina con configuraciones débiles en múltiples países y usándolos como proxies residenciales para ocultar el origen de sus ciberoperaciones contra infraestructuras críticas.El análisis es de Javier Márquez en Xataka el 16 de julio.Por qué el router es el objetivo perfectoEl router es el dispositivo olvidado de la red doméstica y corporativa. Se instala, se verifica que la conexión funciona, y luego se deja funcionando durante meses o años sin mantenimiento. Esa negligencia lo convierte en un objetivo ideal para los actores que buscan infraestructura para ocultar sus operaciones.El mecanismo que CISA describe es específico: los actores explotan el protocolo SNMP (Simple Network Management Protocol) en sus versiones 1 y 2, que muchos routers tienen activado por defecto y que en esas versiones no cifra las contraseñas. Si un router tiene SNMP activo con las credenciales de fábrica o con contraseñas débiles, los atacantes pueden acceder al dispositivo de forma remota y configurarlo para sus propósitos.El proceso de ataque en tres fases:Descubrimiento: los actores escanean rangos de direcciones IP en busca de routers con agentes SNMP activos y accesibles desde internet.Explotación: usando el agente SNMP mal configurado y tráfico con IPs de origen suplantadas, instalan malware en el router.Incorporación: el router comprometido pasa a ser un nodo de la red de proxies, desde el que se lanzan nuevos escaneos y ataques.Proxy residencial: por qué esto es difícil de detectarEl término técnico para lo que hace el FSB con estos routers es proxy residencial: una conexión doméstica o de pequeña oficina usada como intermediaria para que el tráfico malicioso parezca provenir de un usuario legítimo.Cuando una organización bancaria, una red energética o una institución pública recibe una conexión que proviene de la IP de una casa en Dinamarca o de una empresa mediana en Nueva Zelanda, los sistemas de defensa tienen mucha más dificultad para clasificarla como maliciosa comparado con una conexión que viene de un servidor conocido en Rusia. El tráfico parece legítimo porque técnicamente pasa por una conexión residencial legítima.Los sectores que CISA identifica como objetivos: comunicaciones, defensa, energía, servicios financieros y organismos públicos. Son exactamente los sectores donde una conexión de apariencia legítima puede facilitar sondeos de vulnerabilidades o preparar el terreno para ataques más sofisticados.Los tres rusos acusados en EE.UU. el 15 de julio de gestionar infraestructura «antibalas» para grupos de ransomware como LockBit usaban un modelo diferente al de los proxies residenciales del FSB: en lugar de routers comprometidos de víctimas inocentes, operaban servidores diseñados deliberadamente para ignorar las solicitudes de las fuerzas de seguridad. Los datos robados de los carnets de conducir de 7 millones de usuarios de AssuranceAmerica muestran que los ciberatacantes no siempre buscan infraestructura directa: a veces buscan datos de usuarios que luego usan para construir identidades falsas y cubrir sus operaciones. CISA ya usa IA de Anthropic para auditar código gubernamental en busca de vulnerabilidades: el mismo organismo que alerta sobre los routers comprometidos está explorando activamente la IA como herramienta de defensa. Las 570 vulnerabilidades parcheadas por Microsoft en julio de 2026 con ayuda de IA muestran que el gap entre la velocidad a la que los atacantes pueden encontrar y explotar vulnerabilidades y la velocidad a la que los defensores pueden parchearlas se está cerrando, pero sigue siendo un problema estructural.Qué hacer para proteger tu routerCISA tiene recomendaciones específicas, y son accionables para cualquier administrador de red o usuario avanzado:SNMP:Desactiva SNMP versiones 1 y 2: no cifran las contraseñas y no son seguras.Usa SNMP versión 3 solo si lo necesitas para administración de red.Si no usas SNMP para nada, desactívalo por completo.Cisco Smart Install: desactiva este servicio en routers Cisco si no está en uso activo. Los atacantes lo han explotado en múltiples campañas anteriores.Credenciales: sustituye las contraseñas de fábrica por contraseñas únicas y fuertes en todos los dispositivos de red.Firmware: instala las actualizaciones de firmware del fabricante tan pronto estén disponibles.Reducción de superficie de ataque: desactiva cualquier protocolo de red que no uses activamente. Cada servicio activo es una posible entrada.Mi valoraciónLa alerta de CISA sobre los routers comprometidos por el FSB es técnicamente específica y prácticamente útil. No es una advertencia genérica sobre «el peligro de los hackers rusos» — describe un mecanismo concreto (SNMP mal configurado), una metodología documentada (proxy residencial) y proporciona contramedidas específicas.Lo que más me preocupa del fenómeno de los proxies residenciales es su escalabilidad: a diferencia del alojamiento antibalas, que requiere gestionar servidores, los proxies residenciales se construyen sin coste explotando dispositivos de víctimas inocentes. La red puede crecer a medida que se descubren nuevos routers vulnerables, y las víctimas suelen no saber que su router forma parte de una operación de inteligencia rusa.Preguntas frecuentes¿Cómo puedo saber si mi router ha sido comprometido?Los indicadores incluyen: comportamiento inusual del router (lentitud, reinicios espontáneos), tráfico de red anómalo a horas inusuales, configuraciones cambiadas que no recuerdas haber modificado, y credenciales de administrador que ya no funcionan. La herramienta más eficaz es acceder a la interfaz de administración del router, revisar los logs de acceso y verificar que la configuración SNMP está desactivada o solo acepte conexiones desde IPs específicas.¿Los routers domésticos habituales en España están en riesgo?Sí. Cualquier router con SNMP v1 o v2 activo y credenciales débiles o de fábrica es vulnerable, independientemente de la marca o el mercado. Los routers de los principales operadores españoles suelen tener SNMP desactivado en la configuración por defecto que entrega el operador, pero los routers de terceros que instalan los usuarios, especialmente en pequeñas empresas, pueden tener configuraciones más permisivas.¿El Centro 16 del FSB es el mismo grupo que atacó la infraestructura electoral americana?El Centro 16 del FSB (también conocido como FAPSI o APT29 en la nomenclatura de ciberseguridad) es uno de los grupos del FSB con actividad ofensiva en ciberseguridad, con un perfil de inteligencia más que de sabotaje. Los ataques electorales americanos han sido atribuidos a diferentes unidades del FSB y GRU. La atribución precisa entre unidades de inteligencia rusas es técnicamente compleja y no siempre está disponible en comunicados públicos.La noticia CISA advierte: el FSB ruso usa routers mal configurados en todo el mundo como refugio para sus ciberoperaciones fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.