Los operadores dan sus propios routers a los clientes que contratan sus servicios a Internet. Estos dispositivos WiFi suelen ser suficiente para la mayoría de consumidores, pero hay personas que piden más y compran modelos de terceros, con más funciones de personalización de sus redes inalámbricas. Si eres uno de ellos, cuidado: unos investigadores han detectado 14.000 routers al día vulnerables a un virus informático peligroso.
Los expertos de Black Lotus Labs, de la marca de seguridad Lumen, aseguran que han descubierto una red de bots resistente a desmantelamientos (botnet de alta resiliencia) en 14.000 routers y otros dispositivos de red. Este tipo de vulnerabilidad se caracteriza por contar con una arquitectura descentralizada y técnicas evasivas para sobrevivir a las acciones de desmantelamiento de las empresas, lo que dificulta su eliminación.
Principalmente, afectó a modelos de Asus, aunque los investigadores señalan que hay otras marcas en la lista de dispositivos problemáticos. El objetivo principal del botnet de alta resiliencia es Estados Unidos, ya que la mayoría de routers hackeados están en ese país. Con una menor presencia, también se han visto modelos intectados en Taiwán, Hong Kong y Rusia, pero no descartan su presencia en otros países. Por lo tanto, lo más seguro es cerciorarse de que nuestros aparatos WiFi estén actualizados a la última versión.
Así es KadNap, el malware que hackea los routers
Chris Formosa, investigador de Black Lotus Labs, ha señalado para Ars Technica que el malware que han identificado en los routers corrompidos es uno denominado KadNap. El experto explica que este virus informáticose propaga exlotando vulnerabilidades que los propietarios de los dispositivos no corrigen. Probablemente el alto número de modelos Asus afectados se deba a que los ciberdelincuentes han obtenido un exploit fiable para vulnerar esta marca en concreto.
El equipo de Black Lotus Labs descubrió en su investigación que la red de bots no parade crecer. El número de routers infectados rond los 14.000 al día frente a los 10.000 de agosto de 2025. Los invesigadores de ciberseguridad recomiendan actualizar el firmware a la última versión, tener contraseñas seguras y deshabilitar el acceso remoto a menos que sea necesario. Además, si temes haber sido hackeado, explican que la solución es restablecer la configuración de fábrica.
Un virus difícil de apagar
A diferencia de los virus informáticos tradicionales, que obececen a un único servidor central y son fáciles de detectar y apagar, KadNap funciona como una comunidad decentralizada y es más complejo rastrearlo. Hay cuatro puntos clave que los de Black Lotus Labs explican de su funcionamiento y deja claro por qué este malware es más peligroso:
- Red Peer-to-Peer (P2P). Usa una estrucutra parecida a la de BitTrrent. Es deicr, lso dispositivos infectados «hablan entre ellos» para pasarse órdenes y no tienen que esperar a que un «jefe central» se las dé.
- Tablas Hash Distribuidas (DHT). En lugar de dar la dirección IP real del atacante, los nodos usan hashes (una especie de códigos) para interconectarse. Se pasan información unos a otros dependiendo del dispositivo que esté más cerca.
- El escondite perfecto. Al no haber un servidor principal como objetivo, la red tolera los fallos sin llegar a caer. Es decir, si la policía logra apagar 10 nodos, otros miles siguen funcionando y buscando nuevas rutas.
- El objetivo final: Doppelganger. KadNap convierte el ordenador de la víctima en un proxy de alquiler. El atacante vende la conexión de la casa a terceros, para que otros naveguen por Internet. Así, usan la conexión de la víctima para realizar actividades ilegales sin ser descubiertos.
Dado que el punto de mira de estos ciberataques está principalmente en EEUU y no en España, no deberíamos preocuparnos demasiado. No obstante, conviene estar atentos para detectar cualquier posible hackeo del router y actuar en consecuencia si sospechamos de un intruso.
