Una campaña sofisticada de ciberespionaje ha infectado decenas de miles de routers ASUS antiguos con una puerta trasera persistente, según investigadores. El grupo responsable, al que se ha vinculado con China‑Estado, aprovecha vulnerabilidades conocidas y el servicio AiCloud para instalar certificados TLS falsos de larga duración y obtener control administrativo vía SSH. Los dispositivos afectados se encuentran sobre todo en Taiwán, el sudeste asiático, Europa central y otras regiones. La operación, conocida como WrtHug, podría estar sentando las bases para una red de espionaje encubierta, similar a una “red de relevo operativo” (“operational relay box” u ORB) utilizada para ocultar la verdadera fuente del tráfico malicioso. El modo de intrusión es especialmente preocupante porque sobrevive a reinicios o actualizaciones del firmware.

Qué está ocurriendo exactamente

Los investigadores de SecurityScorecard han revelado una campaña masiva y sigilosa que compromete routers ASUS al explotar una serie de vulnerabilidades ya conocidas. El actor detrás de esto ha infectado decenas de miles de dispositivos, según el informe, y ha habilitado un acceso administrativo permanente en varios modelos que ya no reciben soporte oficial. La operación ha sido bautizada como Operation WrtHug.

El método de ataque no se basa tanto en malware tradicional, sino en configuraciones legítimas del propio router. Tras explotar ciertos fallos —incluyendo vulnerabilidades de inyección de comandos—, los atacantes habilitan el protocolo SSH en el puerto TCP 53282 y añaden su clave pública para acceder de forma remota. Lo más sorprendente es que la configuración maliciosa se guarda en la NVRAM, una memoria no volátil del router que no se borra al reiniciar ni al aplicar una actualización de firmware. Según Cybernews, esta técnica asegura que la intrusión permanezca activa incluso después de intervenciones estándar de limpieza.

Además, el atacante instala un certificado TLS autofirmado con una fecha de expiración exageradamente larga (hasta el año 2122), lo que permite cifrar la comunicación entre el usuario y el panel del router sin levantar sospechas. Muchos usuarios aceptan automáticamente esos certificados autofirmados porque no comprueban si son legítimos, lo que facilita la inyección del atacante. Esta estrategia ha sido detallada también por Ars Technica.

Modelos afectados y geografía del compromiso

Los modelos más vulnerables son routers ASUS de generaciones anteriores y ya obsoletos. Entre los dispositivos identificados como comprometidos se incluyen: 4G‑AC55U, 4G‑AC860U, DSL‑AC68U, GT‑AC5300, GT‑AX11000, RT‑AC1200HP, RT‑AC1300GPLUS y RT‑AC1300UHP (Ars Technica).

En cuanto a distribución geográfica, la mayor parte de los routers infectados se encuentra en Taiwán; también hay implantaciones significativas en Corea del Sur, Japón, Hong Kong, Rusia, Europa central y EE.UU. Según Infosecurity Magazine, la operación es de carácter altamente coordinado y global.

Las técnicas de intrusión combinan fuerza bruta para credenciales débiles con bypass de autenticación, lo que sugiere que los atacantes son técnicamente competentes y muy organizados.

Riesgo real: ¿para qué quieren estos routers?

SecurityScorecard cree que estos routers no se están usando para ataques notorios ni para lanzar malware visible, sino más bien como nodos en una red de espionaje encubierta. Se sospecha que forman parte de una red ORB (operational relay box), lo que significa que pueden actuar como estaciones intermedias para ocultar el origen real del tráfico malicioso, hacer reenvío de comunicaciones o cubrir otras operaciones secretas.

Este tipo de red encaja con campañas anteriores vinculadas a actores estatales, y los expertos apuntan a la posibilidad de que detrás haya un grupo con recursos, experiencia técnica y motivaciones estratégicas, según The Register.

Cómo saber si tu router está comprometido

Detectar si tu router ha sido infectado no es trivial, pero los investigadores han identificado varios indicadores. Primero, hay que revisar si el puerto 53282 está activo para SSH, y comprobar si en el archivo authorized_keys aparece una clave pública sospechosa.

También se puede analizar el certificado TLS instalado en el sistema de configuración web del router: si es autofirmado con una fecha de expiración muy lejana y tiene campos extraños en su CN o sujeto, puede ser una señal de compromiso. Según The Register, estas comprobaciones son clave para detectar intrusiones persistentes.

En algunos casos, los investigadores han identificado direcciones IP asociadas con los atacantes, lo que puede servir para bloquearlas si tu router tiene capacidad para filtrar tráfico o reglas de firewall. Si se sospecha que ha habido intrusión, la recomendación de Cybernews es realizar un restablecimiento de fábrica completo y configurar el router desde cero, desactivando accesos remotos innecesarios.

Contexto e implicaciones: más que un ataque puntual

Lo que hace especialmente preocupante esta operación no es solo el número de routers vulnerables, sino la persistencia y la planificación estratégica. No se trata de un botnet ruidoso de relleno, sino de un esquema encubierto con alto grado de sofisticación. El uso de la memoria NVRAM para almacenar la puerta trasera es especialmente bien pensado porque evita que una actualización de firmware o un reinicio la borre.

Además, el hecho de usar routers domésticos hace que las conexiones parezcan benignas ante muchos sistemas defensivos, ya que proceden de direcciones “fiables”. Esto representa una amenaza real para la seguridad nacional y la privacidad, porque convierte dispositivos aparentemente inocuos en puntos de reenvío o escucha. Las técnicas empleadas (inyección de comandos, configuración SSH, certificados falsos, almacenamiento en NVRAM) demuestran un nivel técnico elevado y planificación a largo plazo.

Buenas prácticas para proteger tu router

Para reducir el riesgo, los usuarios de routers ASUS deben asegurarse de usar versiones de firmware recientes. Revisar configuraciones avanzadas, comprobar si SSH está habilitado y si existe alguna clave pública no autorizada en authorized_keys, desactivar servicios innecesarios como AiCloud o administración remota y analizar el certificado TLS del panel de administración. Si tu router es un modelo antiguo y no recibe actualizaciones, reemplazarlo por uno moderno puede ser la medida más segura. Realizar un reset de fábrica completo y reconfigurar desde cero es la forma más confiable de eliminar posibles intrusiones persistentes.

Riesgos geopolíticos y futuro posible

Este tipo de campañas pone de manifiesto cómo un hardware doméstico puede transformarse en una herramienta de espionaje global. La implicación de actores estatales —como se apunta en el caso de WrtHug— convierte estos ataques en problemas de seguridad nacional, porque una red de routers comprometidos puede servir para interceptar comunicaciones, montar infraestructura encubierta o lanzar operaciones encadenadas sin pasar desapercibida.

La elección de routers obsoletos probablemente no es casual: los modelos más antiguos tienden a no recibir parches, lo que facilita su explotación. Asimismo, el uso de memoria persistente como la NVRAM demuestra un enfoque técnico que exige conocimientos profundos del funcionamiento interno de los dispositivos. Si estos ataques se extienden, podríamos ver una normalización de redes “encubiertas” construidas sobre dispositivos domésticos.

Además, la existencia de múltiples campañas similares sugiere que no es un incidente aislado sino parte de un patrón (The Register). Esto podría conducir a una escalada en la sofisticación de estas operaciones y a un mayor escrutinio internacional sobre infraestructuras de red que se asumen seguras pero no lo son tanto.