Routers SOHO bajo ataque: cómo el secuestro de DNS abre la puerta al espionaje silencioso
Una investigación reciente de Microsoft revela una campaña sofisticada en la que el actor estatal Forest Blizzard (STRONTIUM) compromete routers domésticos y de pequeñas oficinas (SOHO) para ejecutar secuestro de DNS y facilitar ataques adversary-in-the-middle (AiTM). El resultado es una visibilidad persistente sobre el tráfico de red sin necesidad de comprometer directamente los sistemas corporativos.
Desde mediados de 2025, el grupo ha estado explotando routers mal configurados o sin parches para tomar control de su configuración de red. Una vez dentro, los atacantes modifican los servidores DNS configurados en el router, redirigen el tráfico hacia infraestructura controlada por el atacante y mantienen una presencia pasiva, difícil de detectar. A diferencia de ataques tradicionales, aquí no siempre hay malware visible en el endpoint. El compromiso ocurre antes, en la capa de red.
El secuestro de DNS permite redirigir dominios legítimos como Outlook Web, interceptar sesiones TLS mediante técnicas AiTM y capturar credenciales o tokens de sesión. Esto convierte al router en un proxy invisible entre el usuario y el servicio. Es importante entender que no siempre se rompe el cifrado: muchas veces se engaña al usuario o se abusa de flujos de autenticación para capturar sesiones válidas.
Según Microsoft, la campaña ha afectado a más de 200 organizaciones y alrededor de 5.000 dispositivos SOHO comprometidos, utilizados en operaciones de inteligencia con motivación geopolítica. Estos routers funcionan como una red distribuida que permite ocultar la infraestructura del atacante, operar desde ubicaciones aparentemente legítimas y escalar hacia entornos corporativos sin levantar sospechas.
Este ataque marca un cambio importante en el modelo de amenazas. La seguridad ya no comienza únicamente en la empresa, sino también en los hogares de los empleados. Se trata de ataques invisibles, sin malware evidente ni alertas tradicionales, que aprovechan dispositivos de bajo coste y alta disponibilidad como los routers domésticos. Además, un router comprometido puede permanecer así durante largos periodos sin ser detectado.
Aunque el dispositivo afectado esté fuera del entorno corporativo, el impacto es directo. Puede facilitar el acceso a credenciales empresariales, el secuestro de sesiones en aplicaciones SaaS, la exposición de tráfico sensible y el bypass de controles de seguridad tradicionales. Este riesgo es especialmente relevante en escenarios de trabajo remoto, uso de dispositivos personales y acceso a servicios en la nube.
Microsoft recomienda aplicar medidas básicas pero críticas: cambiar credenciales por defecto, actualizar el firmware de los routers, revisar la configuración DNS y deshabilitar accesos remotos innecesarios. A nivel organizacional, es clave monitorizar anomalías DNS, implementar detección de ataques AiTM, reforzar la autenticación multifactor y segmentar el acceso a recursos críticos. También es fundamental concienciar a los usuarios sobre los riesgos asociados a sus redes domésticas.
La conclusión es clara: la seguridad ya no se rompe desde dentro, se rodea desde fuera. Los routers SOHO, tradicionalmente ignorados, se han convertido en un punto estratégico dentro de campañas de espionaje modernas. Mientras las organizaciones refuerzan sus sistemas internos, los atacantes están explotando el eslabón más débil: la red doméstica del usuario.