Miles de routers comprometidos por hackers vinculados a China: comprueba aquí si eres vulnerable

• Miles de routers Asus han sido hackeados y están bajo el control de un grupo presuntamente vinculado a China.
• La operación, denominada WrtHug, afecta principalmente a siete modelos de routers Asus que ya no reciben soporte ni parches de seguridad.
• Los atacantes aún no han revelado sus intenciones ni han mostrado actividad post-explotación clara.

Investigadores de SecurityScorecard han alertado sobre una masiva campaña de hackeo que ha comprometido miles de routers de la marca Asus. La operación, bautizada como WrtHug, parece estar dirigida principalmente a siete modelos específicos de la compañía, todos ellos ya descatalogados y sin soporte de seguridad activo. Por el momento, los atacantes permanecen inactivos, lo que sugiere que están preparando su uso futuro.

Operación WrtHug: El modus operandi

La campaña WrtHug se centra en routers Asus que ya no reciben actualizaciones de seguridad, lo que los convierte en un objetivo vulnerable. Los investigadores sospechan que los dispositivos comprometidos se utilizan de forma similar a las redes ORB (cajas de relé operacional), que los hackers emplean principalmente para realizar espionaje y ocultar su identidad, en lugar de ataques DDoS u otras actividades maliciosas evidentes. La concentración de dispositivos infectados se observa en Taiwán, con focos menores en Corea del Sur, Japón, Hong Kong, Rusia, Europa central y Estados Unidos.

Detalles de la infección

Durante el proceso de infección, los dispositivos afectados muestran un cuadro de diálogo que solicita al usuario instalar un certificado TLS autofirmado. Asus, como muchos otros fabricantes, requiere por defecto que los usuarios acepten estos certificados para cifrar las conexiones. Los atacantes aprovechan esta costumbre para pasar desapercibidos. Los certificados autofirmados no cumplen con las especificaciones TLS y no pueden ser verificados, lo que facilita su uso malicioso. La campaña WrtHug utiliza una funcionalidad del servicio AICloud de Asus, que permite el acceso remoto a archivos locales.

Identificación de routers comprometidos

Determinar si un router Asus ha sido comprometido requiere una inspección del certificado autofirmado. Los modelos de routers Asus que SecurityScorecard ha identificado como objetivo de esta campaña son:

• Asus Wireless Router 4G-AC55U
• Asus Wireless Router 4G-AC860U
• Asus Wireless Router DSL-AC68U
• Asus Wireless Router GT-AC5300
• Asus Wireless Router GT-AX11000
• Asus Wireless Router RT-AC1200HP
• Asus Wireless Router RT-AC1300GPLUS
• Asus Wireless Router RT-AC1300UHP

Un indicador clave es la fecha de expiración del certificado, que en los casos de WrtHug es el año 2122, una duración inusualmente larga para certificados legítimos.

Indicadores de compromiso

El informe de SecurityScorecard detalla otros indicadores que los usuarios pueden examinar. El certificado utilizado por los atacantes tiene como emisor y sujeto la cadena de texto CN=a,OU=a,O=a,L=a,ST=a,C=aa. Los usuarios de routers obsoletos y otros dispositivos IoT deberían considerar seriamente reemplazarlos por modelos que reciban actualizaciones de seguridad regulares. Desactivar servicios como AICloud, administración remota, SSH, UPnP o reenvío de puertos también es una medida de precaución recomendable.

Recomendaciones de seguridad para usuarios

Ante la creciente amenaza de ciberataques dirigidos a dispositivos de red domésticos, es fundamental que los usuarios tomen medidas proactivas para proteger sus equipos. La falta de soporte y actualizaciones de seguridad en modelos antiguos de routers los convierte en blancos fáciles para grupos de hackers. La recomendación principal es actualizar a modelos más recientes que garanticen parches de seguridad continuos.

Medidas preventivas adicionales

Además de la actualización de hardware, los usuarios pueden implementar varias medidas para fortalecer la seguridad de sus redes. Deshabilitar funciones que no se utilicen, como la administración remota, el acceso SSH o el reenvío de puertos, reduce la superficie de ataque. Asimismo, es crucial utilizar contraseñas robustas y únicas para la red Wi-Fi y la interfaz de administración del router. La vigilancia constante y la aplicación de las mejores prácticas de ciberseguridad son esenciales para mitigar riesgos.