Hay una nueva campaña de ciberataques que está usando routers antiguos como puerta de entrada para manipular tu conexión a Internet… sin que te des cuenta.
No es un tema teórico ni algo lejano, se han visto casos en decenas de países y afecta a todo lo que tengas conectado al WiFi, desde tu teléfono hasta tus focos inteligentes.
¿Qué está pasando con estos routers?
Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, ha documentado una campaña en la que un actor malicioso entra de forma remota a routers de acceso a Internet, sobre todo modelos viejos, y cambia su configuración DNS.
A partir de ese momento, cada vez que un dispositivo conectado pide la dirección de una web, el router ya no consulta al proveedor de Internet de siempre, sino a unos resolvers alojados en la infraestructura de Aeza International.
Imagina que sigues escribiendo “www.tu-banco.com” en el navegador, pero el “GPS de Internet” que está dentro del router ahora lo manejan otros. La dirección que ves puede parecer correcta, pero el camino que siguen tus datos ya no lo decides tú.
Un DNS “en la sombra” alojado en Aeza
El núcleo del problema está en un DNS “oculto” o en la sombra que opera sobre servidores de Aeza International, un proveedor de hosting con mala fama en el ecosistema de ciberseguridad y sancionado por gobiernos como el de Estados Unidos desde 2025.
Estos resolvers suelen comportarse “bien” con dominios muy populares como Google, lo que ayuda a que nadie sospeche.
El truco viene con el resto de webs menos conocidas. Para esos dominios, el sistema puede devolver respuestas manipuladas y mandar a ciertos usuarios a una infraestructura controlada por atacantes, en lugar del sitio legítimo al que intentaban acceder.
El papel del TDS: redirecciones y publicidad maliciosa
Una vez que el tráfico DNS ha sido desviado, entra en juego un sistema de distribución de tráfico, conocido como TDS, que funciona sobre HTTP.
Este sistema analiza y “ficha” a los usuarios, comprueba que vienen de routers comprometidos y, solo entonces, decide redirigirlos de forma selectiva a plataformas de publicidad y marketing online.
Ese viaje no suele acabar bien. Muchas de estas plataformas terminan mostrando páginas con software malicioso, estafas disfrazadas de anuncios o webs preparadas para robar datos y credenciales.
Es un modelo de negocio criminal bastante claro, donde cada clic de un usuario puede convertirse en dinero para quienes operan la campaña.
Una confianza rota en silencio
Renée Burton, vicepresidenta de Infoblox Threat Intel, lo resume muy bien con una idea sencilla.
La mayoría de las personas jamás se pregunta qué hace exactamente su router para encontrar la dirección de un sitio web, simplemente confían en que la respuesta sea la correcta.
Cuando alguien rompe esa confianza y toma el control del DNS, se queda con una especie de “volante invisible” sobre cada conexión a Internet que sale de ese router.
En la práctica, el usuario sigue navegando “normal”, pero puede ir siendo desviado sin saberlo a páginas pensadas para exprimir su navegación al máximo, ya sea a través de anuncios agresivos, descargas peligrosas o formularios engañosos.
Alcance global y especial debilidad en equipos antiguos
Los investigadores han observado actividad relacionada con esta campaña en más de una treintena de países, lo que demuestra que no se trata de incidentes aislados, sino de una operación con alcance global.
El patrón se repite: routers comprometidos de forma remota, especialmente aquellos que llevan años sin actualizar o que ya no reciben parches de seguridad.
Una vez modificado el DNS del router, todos los dispositivos que se conectan a ese equipo —móviles, laptops, televisores inteligentes, cámaras IP o dispositivos IoT— pasan a depender por defecto de la infraestructura DNS bajo control del atacante.
Es suficiente con que el router esté comprometido para que toda la red doméstica o de oficina quede expuesta.
Recomendaciones básicas para usuarios y empresas
Infoblox sugiere arrancar por lo más sencillo: renovar los routers antiguos por equipos modernos que protejan mejor la configuración de DNS y reciban actualizaciones de seguridad activas.
Muchas veces seguimos usando el mismo router que entregó el operador hace años, y ahí se acumulan vulnerabilidades que los atacantes conocen muy bien.
En entornos corporativos, el consejo va un paso más allá. El DNS debe tratarse como una pieza crítica de seguridad, no como un simple servicio de infraestructura. Esto implica:
- Implementar controles que detecten tráfico dirigido a resolvers maliciosos o no autorizados.
- Supervisar las peticiones DNS para identificar comportamientos anómalos o patrones de TDS.
- Evitar el uso de “redes en la sombra” o resolvers de origen dudoso dentro de la organización.
Puede sonar muy técnico, pero en el día a día se traduce en mantener el router actualizado, cambiar contraseñas por defecto, usar DNS de confianza y, en empresas, contar con soluciones de seguridad que miren de cerca lo que pasa a nivel DNS.
-
-
-
-
