Los ciberataques a routers domésticos ya no son una amenaza teórica. Un grupo de hackers vinculado al gobierno ruso, conocido como Fancy Bear (APT 28), ha comprometido al menos 18.000 dispositivos en 120 países, incluida España. Estos ataques explotan vulnerabilidades no parcheadas en equipos de MikroTik y TP-Link. El objetivo: robar contraseñas y tokens de sesión, evadiendo incluso la autenticación en dos pasos.
¿Cómo funciona el ataque a routers domésticos?
Los atacantes modifican la configuración del router para redirigir el tráfico de internet de las víctimas. Este tráfico pasa por servidores controlados por Fancy Bear, donde se interceptan credenciales en tiempo real.
Las víctimas acceden a sitios legítimos, pero sus peticiones son desviadas a páginas falsas idénticas. Al introducir sus datos, los hackers los capturan sin que el usuario note nada anormal.
Este método es especialmente peligroso porque opera a nivel de red. No requiere que el usuario haga clic en un enlace malicioso ni descargue software. Basta con que el router esté expuesto y sin actualizaciones.
¿Por qué los routers son tan vulnerables?
Muchos dispositivos siguen ejecutando firmware obsoleto, sin soporte de seguridad. Los fabricantes suelen dejar de actualizar modelos antiguos tras 2–3 años. Los usuarios, a su vez, ignoran las alertas de actualización o no saben cómo aplicarlas.
Además, los routers suelen tener interfaces web accesibles desde internet si no se configuran correctamente. Esto los convierte en blancos ideales para escaneos automatizados de vulnerabilidades conocidas, como CVE-2018-14847 (MikroTik) o CVE-2023-46721 (TP-Link).
¿Qué implica este ataque para la seguridad nacional y económica?
El impacto va más allá del robo individual de cuentas. Estos routers suelen gestionar el acceso a redes de pymes, teletrabajo y servicios críticos. Un solo dispositivo comprometido puede servir como puerta de entrada a infraestructuras más amplias.
En España, donde el 72 % de los hogares tiene conexión fija y el 41 % de las pymes depende de routers de gama media, el riesgo es sistémico. El Instituto Nacional de Ciberseguridad (INCIBE) ha detectado un aumento del 210 % en incidentes relacionados con dispositivos de red desde 2024.
Económicamente, los costes de respuesta, recuperación y pérdida de confianza superan los 320 millones de euros anuales, según un informe de la CNMC de marzo de 2026.
¿Qué dice la normativa actual?
La Unión Europea exige, desde el Reglamento de Ciberseguridad (NIS2), que los fabricantes de equipos de red garanticen actualizaciones de seguridad mínimas de cinco años. España ha transpuesto esta norma mediante el Real Decreto 252/2025, que obliga a los proveedores a registrar sus productos en el Registro de Equipos de Telecomunicaciones Seguros (RETS).
Además, Estados Unidos acaba de aprobar una medida sin precedentes: la prohibición de venta de routers sin certificación FCC Cyber Trust Mark, que exige soporte de parches mínimos de 4 años y desactivación remota por defecto.
¿Cómo proteger tu router doméstico hoy mismo?
- Cambia la contraseña de administración por defecto por una fuerte y única.
- Desactiva el acceso remoto (Remote Management) si no lo necesitas.
- Actualiza el firmware a la última versión disponible — no esperes a que el fabricante envíe notificaciones.
- Usa DNS seguros, como Cloudflare 1.1.1.1 o Quad9, para reducir la exposición a redirecciones maliciosas.
- Reemplaza routers antiguos (más de 3 años) por modelos con soporte activo de seguridad.
¿Qué pasa si ya has sido afectado?
No hay síntomas claros. Pero si notas lentitud inusual, redirecciones inesperadas o inicios de sesión desde ubicaciones desconocidas, reinicia el router y restablece su configuración de fábrica. Luego, cambia todas las contraseñas de cuentas importantes y activa la autenticación multifactor (MFA) en modo app o clave de seguridad física, no por SMS.
Datos Clave
- Fancy Bear (APT 28) ha comprometido al menos 18.000 routers en 120 países.
- Los dispositivos más afectados son de MikroTik y TP-Link, con vulnerabilidades conocidas y sin parchear.
- El ataque permite robar tokens de sesión, evadiendo la autenticación en dos pasos.
- En España, el 63 % de los routers domésticos no reciben actualizaciones de seguridad desde hace más de 2 años.
- La nueva normativa NIS2 y el Real Decreto 252/2025 obligan a los fabricantes a garantizar soporte de seguridad mínimo de 5 años.
