⚠️ Hackers rusos secuestran routers TP-Link y MikroTik

Hackers rusos secuestran routers TP-Link y MikroTik en una campaña masiva para interceptar tráfico de Outlook y robar credenciales de Microsoft 365. La operación, vinculada a APT28 (unidad GRU de inteligencia militar rusa), comprometió 18.000 dispositivos en 120 países desde mayo 2025. El FBI realizó una operación de disrupción en abril 2026 tras coordinar con autoridades internacionales y el Departamento de Justicia de EE.UU.

¿Qué es APT28 y por qué va tras routers?

APT28 es el brazo cibernético de la Dirección Principal de Inteligencia Militar (GRU) rusa, específicamente la Unidad Militar 26165. Estos tipos llevan años yendo tras gobiernos, agencias de defensa y ahora empresas con acceso a datos sensibles. El punto es que no les importa si sos un usuario de hogar o una corporación multinacional: si tu router es vulnerable, sos objetivo. Según el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), APT28 optó por routers domésticos porque son la puerta de entrada perfecta al tráfico de un usuario: nadie los monitorea, la mayoría de la gente nunca actualiza el firmware y tienen acceso total a todo lo que viaja por esa conexión.

¿Y cómo lo hacen? Lo que los atacantes buscaban era silencioso, masivo, escalable. No querían una máquina por máquina, querían toda una red comprometida de 18.000 dispositivos que hiciera el trabajo sucio sin que nadie se enterara hasta que el daño ya estuviera hecho.

El mecanismo del DNS hijacking: cómo interceptan tu tráfico

El ataque funciona así: accedés al router (muchos usan contraseña por defecto, “admin/admin” o “admin/12345”), modificás la configuración DNS en DHCP, y de pronto todos los dispositivos de esa red resuelven dominios a través de servidores controlados por el atacante. Ponele que escribís “outlook.office.com” en tu navegador. Normalmente iría a los servidores de Microsoft. Ahora va a un servidor del atacante que parece idéntico, con HTTPS falso pero “válido” (porque clonaron el certificado o usan un proxy MITM). Más contexto en ejecutar herramientas sin conectarse a APIs externas.

Acá viene lo bueno: el usuario entra a una página que se ve exactamente como Outlook. Tipea usuario y contraseña. Los atacantes lo registran. El tráfico real de Outlook nunca llega, así que el usuario ve un “error de conexión”. Intentá de nuevo. Esta vez tal vez llegue a Outlook real (porque el atacante lo permite después de capturar las credenciales, o porque redirige al real para no despertar sospechas). El usuario nunca se da cuenta de que su credencial fue comprometida.

Routers vulnerables: TP-Link WR841N, MikroTik y otros modelos en riesgo

Tom’s Hardware reportó que el TP-Link WR841N es el principal objetivo porque fue uno de los routers más vendidos globalmente durante 2010-2020 y TP-Link no libera firmware de seguridad para modelos tan antiguos. MikroTik es blanco porque su interfaz web tiende a estar accesible desde internet si el usuario no desactiva el acceso remoto (que es la configuración por defecto en algunos modelos).

La escala del ataque: 18.000 dispositivos en 120 países

La operación llamada FrostArmada comenzó en mayo 2025. Eso sí, el pico de actividad fue en diciembre del mismo año, cuando los atacantes probablemente aceleraron para capturar la mayor cantidad de credenciales antes de que alguien se diera cuenta. El Departamento de Justicia de EE.UU. confirmó 18.000 IPs comprometidas repartidas en 120 países.

No es un número de juego. Eso significa 18.000 puntos de acceso donde el atacante tiene capacidad de hacer Man-in-the-Middle a cualquier usuario de esa red. Si vivís con tu familia y tu router está comprometido, tus padres, tu pareja, tus hijos, todos son objetivos potenciales. Gobiernos, ISPs, bancos regionales, universidades (especialmente en Europa del Este), todos reportaron dispositivos en esta red.

Cómo roban credenciales de Outlook y Microsoft 365

Una vez que controlan el DNS, los atacantes usan una técnica conocida como Adversary-in-the-Middle (AitM). La diferencia con un simple phishing es que acá vos no caes en una trampa obvia. Vos abrís Chrome, vas a outlook.office.com (tipeas bien, el navegador no se queja), y todo se ve correcto. El certificado HTTPS es válido porque o bien clonaron el certificado real, o usan un proxy transparente que intercepta y re-firma el tráfico. Capturan usuario y contraseña antes de que lleguen a los servidores reales de Microsoft. Complementá con proteger mejor tus datos personales.

Una vez que tienen las credenciales, accedés a Microsoft 365, a tu correo empresarial, a tus documentos en OneDrive, potencialmente a acceso a sistemas internos si tu empresa federaliza identidades contra Office 365. Es la puerta de entrada a todo lo demás. (Sí, en serio, todo por no actualizar un router.)

Cómo detectar si tu router fue secuestrado

Indicadores técnicos que deberías revisar ahora mismo:

• DNS inesperado: abrí una consola (cmd en Windows, terminal en Mac/Linux) y ejecutá nslookup google.com o dig google.com. Anotá los servidores DNS que aparecen. Comparalos con lo que configuraste en tu router. Si no coinciden y vos no recuerdas haberlo hecho, potencial problema.
• Conectividad intermitente: sitios que a veces funcionan, a veces no. Esto sucede porque el atacante redirecciona algunos dominios y otros los deja pasar para no levantar sospechas demasiado obvias.
• Alertas de login anómalo en Microsoft: Si recibís correos diciendo “alguien intentó acceder a tu cuenta desde un país raro”, eso es rojo puro. El atacante probó tus credenciales.
• Cambios en configuración del router que no reconocés: si entrás a 192.168.1.1 (o tu IP de router) y ves opciones de DNS customizado, servidores proxy, o acceso remoto habilitado, y vos no lo hiciste, estás comprometido.

Pasos de protección que puedes tomar ya

Primero, el router:

• Cambiar contraseña de admin del router ahora mismo. No “admin/admin”, algo fuerte con mayúsculas, números, símbolos.
• Descargar y instalar el firmware más reciente disponible. Si tu router tiene más de 5 años y no hay firmware nuevo, considerá reemplazarlo (es inversión, pero es tu puerta de entrada a internet).
• Deshabilitar acceso remoto a la administración del router. En la interfaz web, buscá “Remote Management”, “UPnP”, o similares. Apagalos.
• Cambiar los servidores DNS predeterminados. En la configuración DHCP/DNS del router, usá DNS públicos confiables como Cloudflare (1.1.1.1 / 1.0.0.1) o Quad9 (9.9.9.9). No dejes “automático”.

Segundo, tus credenciales:

• Cambiar contraseña de Microsoft 365 / Outlook inmediatamente.
• Verificar en haveibeenpwned.com si tu correo figurá en algún breach. Si figurá, cambia contraseña.
• Habilitar autenticación de dos factores (2FA) en tu cuenta Microsoft si aún no lo hiciste. No es infalible, pero detiene la mayoría de los ataques automáticos.
• Revisar accesos recientes a tu cuenta Microsoft (Activity en account.microsoft.com) y revocar sesiones que no reconozcas.

Tercero, protección futura:

• Considerá usar una VPN si compartís red con otros usuarios o si usás WiFi público. Una VPN cifra todo el tráfico entre tu dispositivo y el servidor VPN, así que aunque el router esté comprometido, el atacante ve tráfico cifrado que no puede descifrar.

La operación de disrupción del FBI en abril 2026

El FBI confirmó a mediados de abril 2026 que realizó una operación autorizada por tribunal para interrumpir la infraestructura de FrostArmada. ¿Qué hicieron técnicamente? Lograron acceso a los servidores de comando y control, resetaron la configuración de los 18.000 routers afectados de forma remota (algunos se notan, otros no, depende del modelo), y recolectaron evidencia. BleepingComputer reportó que el Departamento de Justicia presentó cargos contra operadores desconocidos, posiblemente en Rusia, aunque naturalmente no habrá extradición.

El punto importante es que la disrupción no fue “ley y orden”. Fue gato y ratón a escala estatal. El FBI desactivó los servidores C2 (comando y control) que APT28 usaba para gestionar los routers. Eso significa que los routers siguen desconfigurados hasta que el usuario manualmente los repare. El atacante no puede volver a tomar control (de esos dispositivos específicos) sin acceso físico o una nueva vulnerabilidad.

Errores comunes que cometemos frente a esto

Error 1: Pensar “esto no me afecta porque uso empresarial”

Si tu empresa NO te da wifi corporativo y vos usás tu wifi de casa para entrar a sistemas de trabajo, estás completamente en riesgo. El atacante con control del DNS del router puede interceptar tu tráfico de VPN (si el cliente VPN se resuelve por DNS) o directamente acceder a todas tus sesiones. Si trabajás desde casa, este riesgo es tuyo, no de IT. Esto se conecta con lo que analizamos en detectar amenazas con IA avanzada.

Error 2: Creer que “tenés un router nuevo así que no está vulnerable”

Falso. El objetivo inicial fue routers viejos, pero la técnica funciona en cualquier router si lográs acceso de admin. Routers nuevos que no actualizan automático también son vulnerables. Algunos fabricantes nuevos tienen peor seguridad que los viejos, simplemente porque priorizan caracteríticas sobre hardening.

Error 3: Creer que “cambiar la contraseña de Outlook es suficiente”

No. Si el router sigue comprometido, el atacante simplemente captura la nueva contraseña. Primero arregla el router, recién después cambia contraseñas. Hacerlo al revés es como cambiar la cerradura mientras alguien sigue teniendo una copia de la llave.

Qué está confirmado / Qué no

Confirmado

• 18.000 dispositivos TP-Link y MikroTik fueron comprometidos (datos del FBI/Departamento de Justicia, abril 2026).
• APT28 es el responsable (atribución de NCSC, NSA, y otros servicios de inteligencia de Five Eyes).
• El ataque funcionaba via DNS hijacking para redirigir tráfico de Outlook/Microsoft 365.
• Se desplegó desde mayo 2025, pico en diciembre 2025.
• La infraestructura C2 fue desactivada por la operación del FBI en abril 2026.
• CVE-2023-50224 en TP-Link WR841N es una vulnerabilidad real sin parche para modelos viejos.

Pendiente / No completamente claro

• Cantidad exacta de credenciales robadas. El FBI no publicó cifras, solo confirmó que hubo exfiltración.
• Métodos específicos de acceso inicial a cada router. Probablemente credenciales por defecto + exploits públicos, pero no hay confirmación oficial de la cadena exacta.
• Si hay vulnerabilidades zero-day en otros modelos de router que APT28 seguiría usando después de esta disrupción.
• Implicaciones legales exactas para usuarios cuya red fue comprometida (si estuvieron expuestos sin saberlo, ¿son “víctimas” de forma legal?).

Preguntas Frecuentes

¿Qué es APT28?

APT28 (Advanced Persistent Threat 28) es la rama cibernética de la Dirección Principal de Inteligencia Militar (GRU) de Rusia, específicamente la Unidad Militar 26165. Llevan años yendo tras gobiernos occidentales, equipos de defensa, empresas de tecnología, y ahora routers domésticos. Son sofisticados, bien financiados, y actúan con impunidad desde Rusia. Relacionado: seguridad en infraestructuras Microsoft.

¿Mi router actual está en la lista de vulnerables?

Los principales objetivos fueron TP-Link WR841N (versiones 7-13) y varios modelos MikroTik. Si tenés un router TP-Link anterior a 2020 y no actualizaste firmware en el último año, probablemente sea vulnerable a algo. Lo mejor es verificar el modelo exacto (está en la etiqueta de atrás) y buscar si hay patches nuevos en el sitio del fabricante.

¿Puedo saber si mi router fue comprometido?

No con certeza sin herramientas forenses avanzadas. Pero podés detectar indicadores: cambios en configuración DNS que no hiciste, connectividad extraña, o alertas de Microsoft sobre logins desde ubicaciones raras. Si observás uno de estos síntomas, asumí que fuiste comprometido, cambia contraseña de router, actualiza firmware, cambia contraseña de Outlook. Mejor paranoico que violado.

¿Está el router comprometido permanentemente?

No después de la disrupción del FBI. El FBI resetó la configuración de los routers comprometidos en abril 2026. Eso sí, si vos no actualizaste el firmware y la vulnerabilidad original persiste, un nuevo ataque es posible. Por eso: actualizar firmware es crítico.

¿Necesito reemplazar mi router?

Depende. Si es TP-Link anterior a 2018 y no hay firmware nuevo disponible, sí. Si es más reciente y hay actualizaciones disponibles, actualiza y monitorea. Un router de 2020+ con firmware actualizado y acceso remoto deshabilitado es decente. No es perfecto, pero es mucho más seguro que la situación anterior.

Conclusión

Los hackers rusos secuestran routers desde hace meses, y muchos usuarios ni se enteraron. La buena noticia: el FBI frenó la operación (por ahora). La mala: hay 18.000 dispositivos vulnerables sin parches de los que hablan. El punto importante es que esto no fue culpa de usuario por ser “ignorante”. Es culpa de fabricantes (TP-Link) que dejan modelos sin soporte, de ISPs que no fuerzan actualizaciones, de gobiernos que tardaron meses en coordinar una respuesta. Pero vos podés actuar hoy: cambiar contraseña de router, actualizar firmware, verificar configuración DNS, cambiar credenciales. Son 20 minutos que te pueden ahorrar meses de limpieza de cuenta compromitida. Hacelo ya, no mañana.

Fuentes

• Centro Nacional de Ciberseguridad del Reino Unido (NCSC) – APT28 exploit routers to enable DNS hijacking operations
• Departamento de Justicia de EE.UU. – Court-Authorized Disruption of DNS Hijacking Network
• Tom’s Hardware – NCSC Says Russian GRU Hackers Are Hijacking TP-Link and MikroTik Routers
• BleepingComputer – Authorities Disrupt DNS Hijacks Used to Steal Microsoft 365 Logins
• SecurityWeek – US Disrupts Russian Espionage Operation Involving Hacked Routers and DNS Hijacking