{"id":69800,"date":"2025-05-30T17:31:59","date_gmt":"2025-05-30T17:31:59","guid":{"rendered":"https:\/\/enfoquenoticioso.com\/?p=69800"},"modified":"2025-05-30T17:31:59","modified_gmt":"2025-05-30T17:31:59","slug":"miles-de-routers-asus-han-sido-comprometidos-en-una-campana-de-intrusion-reiniciarlos-no-elimina-la-amenaza","status":"publish","type":"post","link":"https:\/\/enfoquenoticioso.com\/?p=69800","title":{"rendered":"Miles de routers ASUS han sido comprometidos en una campa\u00f1a de intrusi\u00f3n: reiniciarlos no elimina la amenaza"},"content":{"rendered":"<p>\n      <img decoding=\"async\" src=\"https:\/\/i.blogs.es\/7c6876\/routers-asus-seguridad-portada\/1024_2000.jpeg\" alt=\"Miles&#x20;de&#x20;routers&#x20;ASUS&#x20;han&#x20;sido&#x20;comprometidos&#x20;en&#x20;una&#x20;campa&#xF1;a&#x20;de&#x20;intrusi&#xF3;n&#x3A;&#x20;reiniciarlos&#x20;no&#x20;elimina&#x20;la&#x20;amenaza\">\n    <\/p>\n<p>Una nueva campa\u00f1a de intrusi\u00f3n ha puesto en el punto de mira a varios modelos de <strong>routers ASUS<\/strong>. <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.greynoise.io\/blog\/stealthy-backdoor-campaign-affecting-asus-routers\" target=\"_blank\">Seg\u00fan GreyNoise<\/a>, firma especializada en ciberseguridad, al menos tres dispositivos diferentes estar\u00edan siendo explotados por un actor \u201caltamente capacitado y con recursos suficientes\u201d.<\/p>\n<p><!-- BREAK 1 --><\/p>\n<p>Las amenazas sofisticadas suelen estar dirigidas a objetivos muy concretos, pero esta campa\u00f1a presenta un patr\u00f3n m\u00e1s amplio. Los investigadores han detectado ya cerca de 9.000 dispositivos comprometidos, y aseguran que el n\u00famero sigue aumentando. Se cree que se podr\u00edan estar sentando las bases para una futura botnet, <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/basics\/que-es-un-ataque-ddos-y-como-puede-afectarte\" data-vars-post-title=\"Qu\u00e9 es un ataque DDoS y c\u00f3mo puede afectarte\" data-vars-post-url=\"https:\/\/www.xataka.com\/basics\/que-es-un-ataque-ddos-y-como-puede-afectarte\" target=\"_blank\" rel=\"noopener\">pieza clave para los ataques de DDoS<\/a>.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_81 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Tabla de Contenido<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/enfoquenoticioso.com\/?p=69800\/#Acceso_persistente_sin_malware\" >Acceso persistente sin malware<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/enfoquenoticioso.com\/?p=69800\/#Como_saber_si_tu_router_ha_sido_comprometido\" >C\u00f3mo saber si tu router ha sido comprometido<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Acceso_persistente_sin_malware\"><\/span>Acceso persistente sin malware<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Los atacantes obtienen acceso inicial mediante <strong>t\u00e9cnicas de fuerza bruta<\/strong> y el uso de estrategias de evasi\u00f3n que todav\u00eda no cuentan con un identificador <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.cve.org\/about\/overview\" target=\"_blank\">CVE<\/a>. En ciberseguridad, un CVE (siglas de Common Vulnerabilities and Exposures) es una referencia est\u00e1ndar que se utiliza para catalogar vulnerabilidades conocidas de forma p\u00fablica.<\/p>\n<p><!-- BREAK 3 --><\/p>\n<div class=\"article-asset-video article-asset-normal\">\n<div class=\"asset-content\">\n<div class=\"base-asset-video\">\n<div class=\"js-dailymotion\">\n<p>                          {\u00abvideoId\u00bb:\u00bbx801azu\u00bb,\u00bbautoplay\u00bb:false,\u00bbtitle\u00bb:\u00bbC\u00f3mo PROTEGER tu ANDROID de VIRUS y MALWARE: Trucos y consejos\u00bb, \u00abtag\u00bb:\u00bb\u00bb, \u00abduration\u00bb:\u00bb271&#8243;}<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p>Tras ese primer paso, los ciberdelincuentes aprovechan una vulnerabilidad concreta ya documentada, identificada como <a rel=\"noopener, noreferrer\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-39780\" target=\"_blank\">CVE-2023-39780<\/a>, para ejecutar comandos arbitrarios y modificar la configuraci\u00f3n del router desde dentro.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p>El objetivo no es instalar un virus o software esp\u00eda tradicional, sino algo m\u00e1s sutil: abrir una puerta trasera remota. Para ello, habilitan el acceso SSH en un puerto espec\u00edfico (TCP\/53282) e insertan una clave p\u00fablica propia en la memoria NVRAM, un tipo de almacenamiento interno que <strong>no se borra al reiniciar el router<\/strong> ni al actualizar su firmware. De este modo, el acceso del atacante persiste en el tiempo, sin dejar se\u00f1ales evidentes.<\/p>\n<p><!-- BREAK 5 --><\/p>\n<p>Los investigadores han replicado el ataque en varios modelos concretos, entre ellos los ASUS RT-AC3100, RT-AC3200 y RT-AX55. No es una lista oficial de dispositivos comprometidos, pero s\u00ed una pista de cu\u00e1les podr\u00edan estar en el punto de mira. De momento, no se descarta que haya otros modelos tambi\u00e9n expuestos.<\/p>\n<p><!-- BREAK 6 --><\/p>\n<div class=\"article-asset-image article-asset-normal article-asset-center\">\n<div class=\"asset-content\">\n<p>   <img decoding=\"async\" alt=\"Indicadores De Compromiso\" class=\"centro_sinmarco\" src=\"https:\/\/i.blogs.es\/91c1a3\/indicadores-de-compromiso\/450_1000.jpeg\"><\/p><\/div>\n<\/div>\n<p>GreyNoise no ha atribuido oficialmente la campa\u00f1a a ning\u00fan grupo concreto. Sin embargo, se\u00f1ala que las t\u00e9cnicas empleadas (el uso de funciones leg\u00edtimas del sistema, la desactivaci\u00f3n de los registros de actividad y la ausencia de malware visible) son caracter\u00edsticas habituales de <strong>ataques muy elaborados<\/strong> y planificados a largo plazo.<\/p>\n<p><!-- BREAK 7 --><\/p>\n<p>Ese tipo de operaciones suelen estar vinculadas con los llamados <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.crowdstrike.com\/en-us\/cybersecurity-101\/threat-intelligence\/advanced-persistent-threat-apt\" target=\"_blank\">APT<\/a>, siglas en ingl\u00e9s de Advanced Persistent Threat. Se trata de grupos de ciberatacantes que act\u00faan con medios t\u00e9cnicos avanzados, gran discreci\u00f3n y objetivos muy definidos, a menudo relacionados con intereses estrat\u00e9gicos o gubernamentales.<\/p>\n<p><!-- BREAK 8 --><\/p>\n<p>El hallazgo se produjo el pasado <strong>18 de marzo<\/strong>, gracias a <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.greynoise.io\/blog\/introducing-sift-automated-threat-hunting\" target=\"_blank\">Sift<\/a>, una herramienta de an\u00e1lisis desarrollada por GreyNoise. <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.labs.greynoise.io\/grimoire\/2025-03-28-ayysshush\/?_ga=2.54615147.1335279137.1748544436-150079059.1748544436\" target=\"_blank\">La publicaci\u00f3n de los detalles<\/a> se retras\u00f3 intencionadamente para facilitar la coordinaci\u00f3n con organismos p\u00fablicos y empresas del sector antes de hacerla p\u00fablica.<\/p>\n<p><!-- BREAK 9 --><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Como_saber_si_tu_router_ha_sido_comprometido\"><\/span>C\u00f3mo saber si tu router ha sido comprometido<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>ASUS ha corregido la vulnerabilidad <a rel=\"noopener, noreferrer\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-39780\" target=\"_blank\">CVE-2023-39780<\/a> en una actualizaci\u00f3n reciente de firmware. No obstante, si el dispositivo fue comprometido antes de aplicar ese parche, el acceso remoto puede seguir activo.<\/p>\n<p><!-- BREAK 10 --><\/p>\n<p>GreyNoise ofrece una serie de pasos que pueden ayudar a detectar si un router ha sido afectado, aunque es cierto que algunos de ellos<strong> pueden resultar complejos <\/strong>para quienes no est\u00e1n familiarizados con conceptos t\u00e9cnicos o no se manejan con soltura en la configuraci\u00f3n avanzada del dispositivo. Aun as\u00ed, conviene conocerlos:<\/p>\n<p><!-- BREAK 11 --><\/p>\n<ul>\n<li>Accede a la configuraci\u00f3n de tu router y verifica si el acceso por SSH est\u00e1 habilitado en el puerto TCP\/53282.<\/li>\n<li>Revisa el archivo llamado <em>authorized_keys<\/em>, ya que podr\u00eda contener una clave p\u00fablica no autorizada.<\/li>\n<li>Bloquea estas direcciones IP, asociadas a la campa\u00f1a: 101.99.91.151, 101.99.94.173, 79.141.163.179 y 111.90.146.237.<\/li>\n<li>Si sospechas que tu dispositivo est\u00e1 afectado, realiza un restablecimiento completo de f\u00e1brica y vuelve a configurarlo manualmente.<\/li>\n<\/ul>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xataka.com\/robotica-e-ia\/openai-acaba-demostrar-que-ia-no-obedece-completo-o3-sabotea-su-propio-apagado-para-seguir-funcionando\" class=\"pivot-outboundlink\" data-vars-post-title=\"OpenAI acaba de demostrar que la IA ya no obedece por completo: o3 sabotea su propio apagado para seguir funcionando \" target=\"_blank\" rel=\"noopener\"><br \/>\n     <img loading=\"lazy\" decoding=\"async\" alt=\"OpenAI&#x20;acaba&#x20;de&#x20;demostrar&#x20;que&#x20;la&#x20;IA&#x20;ya&#x20;no&#x20;obedece&#x20;por&#x20;completo&#x3A;&#x20;o3&#x20;sabotea&#x20;su&#x20;propio&#x20;apagado&#x20;para&#x20;seguir&#x20;funcionando&#x20;\" width=\"375\" height=\"142\" src=\"https:\/\/i.blogs.es\/6bbefb\/hal1\/375_142.jpeg\"><br \/>\n    <\/a>\n   <\/div>\n<div class=\"desvio-summary\">\n<div class=\"desvio-taxonomy js-desvio-taxonomy\">\n     <a href=\"https:\/\/www.xataka.com\/robotica-e-ia\/openai-acaba-demostrar-que-ia-no-obedece-completo-o3-sabotea-su-propio-apagado-para-seguir-funcionando\" class=\"desvio-taxonomy-anchor pivot-outboundlink\" data-vars-post-title=\"OpenAI acaba de demostrar que la IA ya no obedece por completo: o3 sabotea su propio apagado para seguir funcionando \" target=\"_blank\" rel=\"noopener\">En Xataka<\/a>\n    <\/div>\n<p>    <a href=\"https:\/\/www.xataka.com\/robotica-e-ia\/openai-acaba-demostrar-que-ia-no-obedece-completo-o3-sabotea-su-propio-apagado-para-seguir-funcionando\" class=\"desvio-title js-desvio-title pivot-outboundlink\" data-vars-post-title=\"OpenAI acaba de demostrar que la IA ya no obedece por completo: o3 sabotea su propio apagado para seguir funcionando \" target=\"_blank\" rel=\"noopener\">OpenAI acaba de demostrar que la IA ya no obedece por completo: o3 sabotea su propio apagado para seguir funcionando <\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p>La escala del ataque y su capacidad para mantenerse oculto refuerzan una lecci\u00f3n clave: la seguridad de los routers dom\u00e9sticos no debe darse por sentada. Aunque en este caso no se haya instalado malware, los atacantes <strong>han dejado una puerta abierta.<\/strong><\/p>\n<p><!-- BREAK 12 --><\/p>\n<p>Nos hemos puesto en contacto con ASUS para solicitar comentarios sobre esta campa\u00f1a y saber si tienen previsto ofrecer nuevas medidas o recomendaciones adicionales. Actualizamos este art\u00edculo el 30 de mayo a las 16:05 (hora espa\u00f1ola) para a\u00f1adir que ASUS nos ha dicho que el problema se encuentra subsanado y que recomiendan que los usuarios siempre mantengan actualizados sus dispositivos. &nbsp;<\/p>\n<p><!-- BREAK 13 --><\/p>\n<p>Im\u00e1genes | <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.freepik.es\/foto-gratis\/retrato-hacker_4474771.htm#fromView=search&amp;page=1&amp;position=7&amp;uuid=4d942751-e832-416c-b77d-ea2c925fd094&amp;query=hacker\" target=\"_blank\">Freepik<\/a> | <a rel=\"nofollow, sponsored, noopener, noreferrer\" target=\"_blank\" class=\"js-ecommerce\" id=\"link-ecommerce-1\" href=\"https:\/\/www.xataka.com\/redirect?url=https%3A%2F%2Fwww.asus.com%2Fmedia%2Fglobal%2Fproducts%2Fs0tpyXYX6TdyKXDK%2FPS6t6sGe7ZZX2gLV_setting_xxx_0_90_end_2000.png&amp;category=seguridad&amp;ecomPostExpiration=everlasting&amp;postId=319484\" data-vars-affiliate-url=\"https:\/\/www.asus.com\/media\/global\/products\/s0tpyXYX6TdyKXDK\/PS6t6sGe7ZZX2gLV_setting_xxx_0_90_end_2000.png\">ASUS<\/a><\/p>\n<p>En Xataka | <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/seguridad\/alcasec-era-algo-que-hacker-habia-montado-amazon-datos-robados\" data-vars-post-title=\"Alcasec no es un hacker juvenil cualquiera: mont\u00f3 una infraestructura criminal espa\u00f1ola que hasta ten\u00eda bot de atenci\u00f3n al cliente\" data-vars-post-url=\"https:\/\/www.xataka.com\/seguridad\/alcasec-era-algo-que-hacker-habia-montado-amazon-datos-robados\" target=\"_blank\" rel=\"noopener\">Alcasec no es un hacker juvenil cualquiera: mont\u00f3 una infraestructura criminal espa\u00f1ola que hasta ten\u00eda bot de atenci\u00f3n al cliente<\/a><\/p>\n<p> (function() {<br \/>\n  window._JS_MODULES = window._JS_MODULES || {};<br \/>\n  var headElement = document.getElementsByTagName(&#8216;head&#8217;)[0];<br \/>\n  if (_JS_MODULES.instagram) {<br \/>\n   var instagramScript = document.createElement(&#8216;script&#8217;);<br \/>\n   instagramScript.src=\u00bbhttps:\/\/platform.instagram.com\/en_US\/embeds.js\u00bb;<br \/>\n   instagramScript.async = true;<br \/>\n   instagramScript.defer = true;<br \/>\n   headElement.appendChild(instagramScript);<br \/>\n  }<br \/>\n })();<\/p>\n<p> &#8211; <br \/> La noticia<br \/>\n      <a href=\"https:\/\/www.xataka.com\/seguridad\/miles-routers-asus-han-sido-comprometidos-campana-intrusion-reiniciarlos-no-elimina-amenaza?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=30_May_2025\" target=\"_blank\" rel=\"noopener\"><br \/>\n       <em> Miles de routers ASUS han sido comprometidos en una campa\u00f1a de intrusi\u00f3n: reiniciarlos no elimina la amenaza <\/em><br \/>\n      <\/a><br \/>\n      fue publicada originalmente en<br \/>\n      <a href=\"https:\/\/www.xataka.com?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=30_May_2025\" target=\"_blank\" rel=\"noopener\"><br \/>\n       <strong> Xataka <\/strong><br \/>\n      <\/a><br \/>\n             por <a href=\"https:\/\/www.xataka.com\/autor\/javier-marquez?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=30_May_2025\" target=\"_blank\" rel=\"noopener\"><br \/>\n        Javier Marquez<br \/>\n       <\/a><br \/>\n      . <\/p>\n<p><script async src=\"\/\/www.instagram.com\/embed.js\"><\/script><br \/>\n<br \/><a href=\"https:\/\/www.xataka.com\/seguridad\/miles-routers-asus-han-sido-comprometidos-campana-intrusion-reiniciarlos-no-elimina-amenaza\" class=\" target=\" title=\"Miles de routers ASUS han sido comprometidos en una campa\u00f1a de intrusi\u00f3n: reiniciarlos no elimina la amenaza\" target=\"_blank\" rel=\"noopener\">Ver fuente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una nueva campa\u00f1a de intrusi\u00f3n ha puesto en el punto de mira a varios modelos de routers ASUS. Seg\u00fan GreyNoise, firma especializada en ciberseguridad, al menos tres dispositivos diferentes estar\u00edan siendo explotados por un actor \u201caltamente capacitado y con recursos suficientes\u201d. Las amenazas sofisticadas suelen estar dirigidas a objetivos muy concretos, pero esta campa\u00f1a presenta [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":69801,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-69800","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/69800","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=69800"}],"version-history":[{"count":0,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/69800\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/media\/69801"}],"wp:attachment":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=69800"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=69800"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=69800"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}