El 7 de abril de 2026, el FBI, la NSA y agencias de ciberseguridad de más de 15 países emitieron una alerta conjunta sobre una campaña activa del grupo APT28, también conocido como Fancy Bear, vinculado al GRU (inteligencia militar rusa), que comprometió miles de routers SOHO para interceptar tráfico y robar credenciales.
🚨 El agravante: la campaña viene operando desde al menos 2024 sin ser detectada.
¿Cómo funciona el ataque?
Los atacantes explotan vulnerabilidades conocidas en routers sin actualizar para modificar su configuración DHCP/DNS. A partir de ahí, todos los dispositivos conectados heredan servidores DNS maliciosos controlados por el actor. El resultado: el tráfico es redirigido silenciosamente hacia infraestructura propia, lo que permite ejecutar ataques de tipo adversary-in-the-middle (AitM) y capturar contraseñas, tokens de sesión OAuth y correos electrónicos —incluso cuando la conexión usa cifrado TLS.
Los servicios de Microsoft Outlook (autodiscover, IMAP, OWA) fueron objetivos específicos. El ataque es oportunista: primero se compromete masivamente y después se filtra quién tiene valor de inteligencia militar o gubernamental.
Los dispositivos más afectados: TP-Link
El modelo más explotado fue el TP-Link WR841N, mediante CVE-2023-50224: una vulnerabilidad que permite a un atacante no autenticado obtener credenciales del dispositivo a través de solicitudes HTTP GET especialmente diseñadas y, con esas credenciales, modificar la configuración DNS del router. En total se identificaron más de 20 modelos de la marca como objetivos, incluyendo las series Archer C5/C7, WR840N, WR842N, WR941ND y MR6400, entre otros. También se detectó actividad sobre dispositivos MikroTik, especialmente en Ucrania.
Lo que este caso deja en claro
Un router desactualizado o mal configurado no es solo un problema de rendimiento. Es una puerta de entrada que puede permanecer abierta durante años sin que el usuario lo note. Y cuando ese router está comprometido, todos los dispositivos de la red quedan expuestos simultáneamente.
¿Qué podés hacer para reducir el riesgo?
- Actualizá el firmware de tu router y verificá si tu modelo sigue recibiendo soporte del fabricante
- Cambiá las credenciales de administración que vienen por defecto
- Deshabilitá la gestión remota si no la usás
- Verificá que los servidores DNS configurados sean los de tu proveedor de internet
- Reemplazá equipos que ya no reciben actualizaciones de seguridad (EOL)
- Ante advertencias de certificado en el navegador o cliente de correo: no las ignores. En ataques AitM, esa advertencia puede ser la única señal visible de compromiso.
Para más información y conocer los IOC entra en 🔗 https://www.verfassungsschutz.de/SharedDocs/publikationen/EN/cyber/2024-02-28-joint-cyber-security-advisory.pdf?__blob=publicationFile&v=1
