Hackers rusos secuestraron routers domésticos en una amplia campaña de robo de credenciales

Un actor de espionaje conocido adopta una vía discreta pero eficaz

Hackers vinculados al gobierno ruso han comprometido miles de routers domésticos y de pequeñas empresas en un esfuerzo por robar contraseñas y tokens de autenticación, según advertencias publicadas el 7 de abril por investigadores de seguridad y autoridades gubernamentales.

La campaña se atribuye a Fancy Bear, también conocido como APT28, un grupo de hackers de larga trayectoria ampliamente considerado parte de la agencia de inteligencia militar de Rusia, la GRU. El grupo ha sido relacionado con una serie de grandes operaciones cibernéticas a lo largo de la última década, pero los informes más recientes apuntan a una táctica menos centrada en la disrupción llamativa que en la interceptación paciente de tráfico a gran escala.

Al tomar el control de los routers, los atacantes obtuvieron una ventaja estratégica: podían manipular la ruta que toma el tráfico de internet de las víctimas antes de que llegara a servicios legítimos. Eso hacía posible dirigir a los objetivos a sitios web falsificados bajo control de los hackers y capturar credenciales o tokens de sesión que después podían usarse para acceder a cuentas.

Cómo funcionó la campaña

Según el informe, los hackers explotaron vulnerabilidades reveladas previamente en routers MikroTik y TP-Link sin parchear. Una vez dentro, alteraron la configuración del dispositivo para que las solicitudes de internet se redirigieran de forma encubierta a una infraestructura controlada por los atacantes.

Esta técnica es importante porque puede sortear uno de los hábitos más sólidos que los usuarios de internet han desarrollado en la última década: la dependencia de la autenticación de dos factores. Si una víctima es redirigida a un flujo de inicio de sesión falso convincente y los atacantes roban los tokens correctos, podrían acceder a la cuenta sin necesidad de un código de un solo uso.

Los investigadores dijeron que la campaña tuvo un alcance amplio. Black Lotus Labs estimó que al menos 18.000 víctimas en alrededor de 120 países fueron comprometidas, incluidos departamentos gubernamentales, organismos policiales y proveedores de correo electrónico en África del Norte, Centroamérica y el Sudeste Asiático.

Por qué los routers domésticos son un objetivo atractivo

Los routers son fáciles de pasar por alto. Rara vez reciben la misma atención que los portátiles, los teléfonos o los servidores empresariales, pero se sitúan directamente en la ruta de todo lo que hace un usuario en línea. Si permanecen sin parchear, pueden convertirse en puntos de vigilancia duraderos.

Parece que eso fue exactamente lo que los hizo útiles en esta operación. Muchos routers ejecutan software obsoleto durante años, a menudo porque los usuarios no saben que hay actualizaciones disponibles o porque los dispositivos se tratan como electrodomésticos simples en lugar de sistemas sensibles desde el punto de vista de la seguridad. Para los servicios de inteligencia, eso crea un gran grupo de objetivos que puede abarcarse de forma oportunista.

El Centro Nacional de Ciberseguridad del Reino Unido dijo que las operaciones probablemente fueron oportunistas al principio, con el actor lanzando una red amplia antes de centrarse en las víctimas de interés para la inteligencia a medida que avanzaba el ataque. Esa descripción sugiere un modelo de dos etapas: primero un compromiso amplio, luego una explotación selectiva.

La lógica estratégica de la redirección del tráfico

La redirección del tráfico es un método poderoso porque puede ser tanto flexible como silencioso. En lugar de irrumpir directamente en cada servicio objetivo, los atacantes usan el router comprometido como una forma de influir en la experiencia de navegación de la víctima. Eso les permite desplegar phishing de credenciales, robo de tokens u otros ataques basados en sesiones sin necesidad de vulnerar individualmente cada plataforma en línea.

También les da a los atacantes una forma de operar a través de límites personales y organizativos. Un solo router comprometido puede exponer por igual a usuarios domésticos, trabajadores remotos y pequeñas oficinas. En un mundo en el que personal gubernamental, periodistas, contratistas y ejecutivos suelen trabajar desde entornos mixtos, eso convierte al equipo de red de consumo en un punto útil de recopilación de inteligencia.

La campaña descrita el 7 de abril encaja, por tanto, en una tendencia más amplia del conflicto cibernético: los atacantes se están moviendo hacia infraestructuras que se sitúan entre las personas y los servicios en los que confían, en lugar de atacar solo los puntos finales.

Lo que sugiere la revelación

La importancia inmediata de la nueva advertencia es defensiva. Las organizaciones y los hogares que utilizan dispositivos afectados necesitan asumir que los routers sin parchear no son solo un riesgo de mantenimiento, sino un posible punto de apoyo para el espionaje. Las vulnerabilidades subyacentes habían sido reveladas previamente, lo que significa que la oportunidad existió porque los sistemas siguieron expuestos después de que ya había correcciones disponibles.

La importancia más amplia es geopolítica. Fancy Bear ha estado asociado durante mucho tiempo con misiones de inteligencia rusas de alto valor, y la escala de esta actividad muestra un interés continuado en recopilar acceso en volumen. El robo de credenciales de una base tan amplia de objetivos puede apoyar la vigilancia, las intrusiones posteriores y la toma de cuentas en múltiples sectores y regiones.

Para los defensores, la lección es sencilla pero incómoda: las brechas de seguridad críticas no siempre comienzan dentro de un centro de datos de una empresa. A veces comienzan en un armario del pasillo, conectado a una línea de banda ancha, con un router que no se ha actualizado en años.

Una advertencia más allá de esta campaña

El informe recuerda que la infraestructura de internet en el borde sigue siendo uno de los objetivos más débiles en las operaciones cibernéticas globales. Cuando los atacantes pueden comprometer el hardware en el que la gente confía para conectarse a todo lo demás, la frontera entre la debilidad del consumidor y la exposición a la seguridad nacional se vuelve muy delgada.

Por eso el router ha pasado a ser más que un dispositivo doméstico. En manos de un grupo de espionaje respaldado por un Estado, se convierte en una plataforma silenciosa de recopilación, una herramienta de recolección de credenciales y un punto de partida para una intrusión más profunda. La campaña vinculada a Fancy Bear muestra cuánta ventaja puede obtenerse de dispositivos que rara vez ocupan los titulares hasta después de haber sido utilizados contra sus propios dueños.

Este artículo se basa en reportajes de TechCrunch. Leer el artículo original.