Tu viejo router se está convirtiendo en la escena del crimen favorita de internet

Los routers son la puerta de entrada a nuestra vida digital. Conectan portátiles, teléfonos, cámaras, televisores inteligentes, consolas de videojuegos, monitores de bebé y, ahora, un montón de aparatos domésticos conectados a internet. Sin embargo, los tratamos como si fueran parte de la pared. Una vez que el Wi-Fi funciona, la mayoría de la gente nunca vuelve a acceder a su configuración. Esta costumbre ha creado un blanco enorme y fácil de atacar. Agencias de seguridad de varios países llevan años advirtiendo que los routers viejos y sin actualizar están siendo incorporados a botnets, usados como puntos de apoyo para espionaje o explotados para redirigir el tráfico y robar datos. En Estados Unidos, el FBI ha alertado repetidamente sobre los routers comprometidos en hogares y oficinas. El Centro Nacional de Ciberseguridad de Gran Bretaña ha hecho lo mismo. No es una alarma exagerada. Es una debilidad bien conocida que está a la vista de todos.

La evidencia es clara. En 2018, el malware VPNFilter infectó cientos de miles de dispositivos de red en todo el mundo, incluyendo routers de uso doméstico y de pequeñas empresas. Investigadores de Cisco vincularon la campaña a una operación sofisticada, y el FBI instó a la gente a reiniciar los dispositivos afectados mientras se realizaban esfuerzos más amplios para detenerla. Reiniciar era solo una solución temporal. La lección más importante fue brutal: el hardware de internet de uso diario había sido convertido silenciosamente en un arma a gran escala. Años antes, la botnet Mirai mostró lo que ocurre cuando los dispositivos conectados inseguros se dejan expuestos. Ayudó a derribar importantes servicios en línea en 2016 al reunir un enorme ejército de dispositivos comprometidos. Mirai se hizo famoso por abusar de contraseñas débiles por defecto en cámaras y otros aparatos, pero la idea general sigue siendo válida. El hardware de internet barato y descuidado puede convertirse en infraestructura de ataque.

Desde entonces, el problema no ha desaparecido. Ha evolucionado. Los atacantes no siempre necesitan ataques complejos. A veces usan las credenciales de acceso por defecto que los dueños nunca cambiaron. A veces usan vulnerabilidades conocidas en un firmware antiguo que los fabricantes solucionaron hace mucho tiempo, asumiendo que alguien se molestaría en instalar la actualización. A veces no hay ninguna solución porque el dispositivo ha llegado al final de su vida útil y el fabricante prácticamente se ha desentendido de él. El grupo de consumidores Which? en el Reino Unido y la Internet Society han destacado una realidad básica pero preocupante: muchos dispositivos conectados se venden con promesas de soporte poco fiables, ciclos de vida de actualización poco claros o funciones de seguridad que nunca se enseña a usar a los compradores comunes.

Aquí es donde el mercado ha fallado, y lo ha hecho estrepitosamente. Se les dice a los consumidores que sean más responsables en línea, pero se les venden productos que hacen que esa responsabilidad sea poco realista. La configuración del router suele estar escondida detrás de interfaces torpes. Las actualizaciones de seguridad pueden requerir una instalación manual. Las páginas de soporte son difíciles de encontrar. Los avisos de fin de vida útil son confusos. Algunos proveedores de internet entregan hardware que los clientes apenas entienden y no pueden reemplazar fácilmente. Eso no es un error del usuario en el sentido común. Es una decisión de diseño de la industria. El sistema asume que habrá negligencia y luego se sorprende cuando los delincuentes la explotan.

Las pequeñas empresas están especialmente expuestas. A menudo funcionan con equipos de red de consumo o de oficina anticuados porque son baratos y familiares. Puede que no tengan personal informático dedicado. Pueden usar el mismo router durante años mientras guardan detrás de él registros de nóminas, datos de clientes e información de pagos. Cuando ese dispositivo es comprometido, el daño puede extenderse silenciosamente. Los delincuentes pueden interceptar el tráfico, instalar malware, reclutar el dispositivo para una botnet o usarlo como punto de entrada a sistemas más valiosos. La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) ha advertido repetidamente que los dispositivos perimetrales, como routers y firewalls, son objetivos atractivos porque se encuentran en el límite de las redes y a menudo están mal vigilados.

También hay un ángulo de seguridad nacional que merece más atención pública. Los grupos respaldados por estados no solo persiguen a gigantes de la defensa o agencias de inteligencia. A menudo explotan hardware común conectado a internet porque es eficiente y escalable. En los últimos años, los gobiernos occidentales han emitido avisos conjuntos sobre grupos de espionaje que atacan routers, firewalls y dispositivos VPN de los principales fabricantes. La cuestión no es que cada router viejo esté bajo vigilancia activa de un estado. Afirmar eso sería imprudente. La cuestión es que estos dispositivos son reconocidos como objetivos estratégicos porque comprometerlos puede ofrecer sigilo, persistencia y acceso. Eso debería alarmar a cualquiera que piense que solo las instituciones de alto perfil importan.

Las consecuencias afectan primero a la gente común. Un router secuestrado puede ralentizar las conexiones, dirigir a los usuarios a sitios web falsos mediante cambios maliciosos de DNS, exponer el tráfico de navegación o dejar los dispositivos domésticos inteligentes abiertos a abusos. En un hogar familiar, eso puede significar que los dispositivos de los niños, los portátiles del trabajo y las comunicaciones privadas compartan la misma puerta de enlace comprometida. En una clínica, una tienda o una oficina local, puede significar una interrupción real del negocio y una recuperación costosa. La ciberseguridad a menudo se vende como una guerra abstracta en la nube. En realidad, puede empezar con una caja de plástico anticuada al lado del televisor.

Hay soluciones, y no son ningún misterio. La primera es brutalmente simple: reemplazar los routers viejos antes de que fallen, no después. Si un dispositivo ya no recibe actualizaciones de seguridad, debe ser tratado como una infraestructura de internet insegura, no como una ganga. Los compradores deberían preferir a los fabricantes que indican claramente sus políticas de actualización. La segunda es cambiar las contraseñas de administrador por defecto y desactivar la gestión remota a menos que sea realmente necesaria. La tercera es instalar las actualizaciones de firmware sin demora, ya sea que el dispositivo provenga de una tienda o de un proveedor de servicios de internet. Agencias como la CISA y el NCSC también recomiendan desactivar funciones no utilizadas, usar un cifrado Wi-Fi fuerte y reiniciar los dispositivos cuando haya una amenaza activa creíble, aunque un reinicio por sí solo nunca es suficiente si la debilidad subyacente permanece.

Pero la acción individual no es suficiente. Los reguladores y los fabricantes deben dejar de fingir que la seguridad es una característica prémium opcional. Por fin se ven algunos avances. La Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones del Reino Unido ataca las contraseñas por defecto inseguras y otros fallos básicos en los productos conectados. La Ley de Ciberresiliencia de la Unión Europea busca imponer obligaciones de seguridad a los fabricantes. Esas medidas son importantes porque el modelo actual está al revés. Los consumidores no deberían necesitar una vigilancia de nivel experto para tener equipos básicos de internet de forma segura.

La vieja fantasía de la ciberseguridad dice que el peligro llega con un solo clic imprudente. A veces es así. Pero la realidad más incómoda es que el riesgo a menudo está integrado en los dispositivos en los que se nos dice que confiemos y que luego olvidemos. El router en el rincón ya no es una simple pieza de infraestructura. Es un territorio en disputa. Y cada año que seguimos tratándolo como un electrodoméstico en lugar de un dispositivo de seguridad, les damos a los delincuentes otra victoria fácil.