Investigadores de seguridad y agencias gubernamentales han descubierto una campaña de ciberataque masiva y de larga duración que implica el secuestro de miles de enrutadores domésticos y de pequeñas empresas. La operación, vinculada al grupo patrocinado por el estado ruso Fancy Bear (APT 28), fue diseñada para interceptar el tráfico de Internet y robar contraseñas y tokens de acceso de usuarios desprevenidos en todo el mundo.
La mecánica del ataque: cómo los enrutadores se convierten en software espía
Los piratas informáticos no atacaron directamente ordenadores individuales; en cambio, comprometieron el punto de entrada de la red: el enrutador. Al explotar vulnerabilidades sin parches en dispositivos fabricados por MikroTik y TP-Link, los atacantes obtuvieron control sobre el propio hardware.
Una vez que un enrutador se vio comprometido, los piratas informáticos modificaron su configuración para realizar una redirección estilo “intermediario”. Este proceso funciona de la siguiente manera:
1. Redireccionamiento de tráfico: Las solicitudes legítimas de Internet de la víctima se enrutan subrepticiamente a través de una infraestructura controlada por los piratas informáticos.
2. Suplantación de identidad: Se dirige a los usuarios a versiones falsas de sitios web legítimos (como proveedores de correo electrónico o portales bancarios).
3. Robo de credenciales: Cuando los usuarios ingresan sus datos de inicio de sesión, los piratas informáticos capturan sus contraseñas y tokens de sesión.
Por qué esto es importante: Al robar tokens de sesión, los piratas informáticos pueden evitar la autenticación de dos factores (2FA). Esto les permite secuestrar cuentas activas en línea sin necesidad del código de seguridad secundario de la víctima, lo que vuelve ineficaz una de las defensas modernas más comunes.
Una escala global: de los hogares a las agencias gubernamentales
La escala de la operación es enorme y se caracteriza por lo que los expertos llaman un enfoque “oportunista”. En lugar de apuntar a individuos específicos desde el principio, los piratas informáticos lanzaron una amplia red para infectar tantos dispositivos como fuera posible, y luego filtraron los datos para encontrar objetivos de alto valor.
Los datos de varios organismos de investigación destacan la amplitud de la infección:
– Black Lotus Labs (Lumen): Identificó al menos 18 000 víctimas en aproximadamente 120 países, incluidas fuerzas del orden, departamentos gubernamentales y proveedores de correo electrónico en el norte de África, América Central y el sudeste asiático.
– Microsoft: informó haber identificado más de 200 organizaciones y 5000 dispositivos de consumo afectados, incluidas al menos tres entidades gubernamentales en África.
Los actores detrás de la campaña
El grupo identificado como perpetrador es Fancy Bear, también conocido como APT 28. Se cree ampliamente que este grupo está afiliado a la agencia de inteligencia militar de Rusia, el GRU.
Fancy Bear tiene un historial documentado de espionaje de alto riesgo y operaciones disruptivas, en particular:
* La incumplimiento de 2016 del Comité Nacional Demócrata (DNC) en Estados Unidos.
* El hack destructivo de 2022 dirigido al proveedor de satélites Viasat.
Contramedidas y perturbaciones
En respuesta a la campaña, una coalición global que incluye al FBI y Lumen ha tomado medidas para alterar la infraestructura de los piratas informáticos. Este esfuerzo incluyó desconectar una botnet a gran escala e interrumpir varios dominios utilizados para facilitar los ataques.
La principal conclusión para los usuarios es la importancia crítica del mantenimiento del hardware. Debido a que los atacantes se basaron en software obsoleto y vulnerabilidades sin parches, muchos de estos dispositivos permanecieron vulnerables durante años sin el conocimiento de sus propietarios.
Conclusión: Esta campaña demuestra cómo los atacantes se dirigen cada vez más a la infraestructura de red en lugar de a los dispositivos de los usuarios finales para eludir las capas de seguridad modernas como 2FA. Mantener el firmware actualizado en todo el hardware conectado a Internet sigue siendo una defensa vital contra amenazas tan sofisticadas patrocinadas por el estado.
