Un caballo de Troya en el salón: los rúteres chinos usados por Rusia para espiar a Europa

La BfV, agencia de inteligencia policial de Alemania, ha denunciado el hackeo de un gran número de rúteres domésticos por parte de una organización de hackers rusa. Este suceso ha puesto el foco en la empresa china TP-Link, líder mundial indiscutible en la distribución de redes wifi, ya que sus aparatos, presentes en millones de hogares y oficinas de Alemania, han sido los principales afectados en este ataque cibernético. 

Los autores detrás del ataque

Esta amenaza ha puesto en guardia a las principales agencias de seguridad a ambos lados del Atlántico. Tanto el FBI y la NSA en Estados Unidos como el BND y la BfV en Alemania han informado del método de ataque que ha comprometido los sistemas de seguridad de los rúters TP-Link. Según informan estos organismos, que ya han señalado directamente a los culpables, la investigación ha permitido confirmar una treintena de equipos comprometidos, activando un protocolo de urgencia para concienciar a otros posibles usuarios afectados.

La autoría se atribuye al grupo Fancy Bear o APT 28, que se cree que está vinculado al servicio de inteligencia militar ruso (GRU) y a los que se considera responsables de otros ciberataques a gran escala. Presentado al público por FireEye (empresa líder en ciberseguridad), los primeros movimientos de este grupo se remontan al menos a 2007 y han evolucionado desde entonces de una forma más o menos continua y muy cualificada. 

Esta situación no supone algo novedoso. Los ciberataques con la firma del Gobierno ruso se han repetido durante décadas y parecen haberse convertido ya en una rutina. Prueba de ello son, por ejemplo, el hackeo al Bundestag alemán en 2015 o, en el caso de España, el ciberataque de varias webs institucionales en 2024. No obstante, tras este último ataque las autoridades alemanas han endurecido el tono. "La BfV seguirá actuando activamente contra este actor cibernético para limitar su margen de maniobra", concluye la advertencia actual de los servicios de inteligencia alemanes.

Los aparatos afectados

La empresa TP-Link, fundada en China, se dividió posteriormente en una rama estadounidense y otra en su país de origen. En sus especificaciones técnicas, los rúteres de TP-Link se distinguen por un diseño que prioriza la velocidad extrema y la cobertura inteligente, integrando actualmente el estándar Wi-Fi 7 con anchos de banda de hasta 320 MHz y velocidades de transmisión que superan los 19 Gbps en sus gamas más altas.

Es precisamente esta sofisticada capacidad de gestión de datos y su presencia masiva en millones de hogares lo que convierte a los ruters de TP-Link en objetivos estratégicos para el ciberespionaje internacional. Según la Oficina Estadística Federal Destatis, Alemania cuenta con 41 millones de hogares y de estos, la mayoría cuenta con conexión a la red. Un dato que, unido al hecho de que TP-Link ha sido el proveedor de internet número 1 durante 12 años seguidos según el International Data Corporation (IDC), significa que millones de personas podrían tener sus datos de la red comprometidos y al servicio de los intereses del Gobierno ruso. 

El riesgo que supone

Pero el ataque actual no se reduce a los datos domésticos. El grupo habría llegado a infiltrarse en "rúteres vulnerables de TP-Link para obtener información militar, gubernamental o sobre infraestructuras críticas (KRITIS)", según un comunicado conjunto de los servicios publicado el lunes por la noche.

La técnica utilizada para este ataque se conoce como DNS-Hijacking (secuestro de DNS). Los atacantes logran modificar la configuración del rúter de modo que, al intentar acceder a una página web, el usuario no es dirigido al sitio real, sino a páginas controladas por los hackers, a menudo preparadas con código malicioso. De este modo, Fancy Bear ha logrado robar contraseñas, tokens de autenticación e información sensible como correos electrónicos e historiales de búsqueda. Además, el Centro Nacional de Ciberseguridad británico ha informado sobre otros rúteres afectados de la marca MikroTik que también han podido aportar información para los intereses de Kremlin.

Un caballo de Troya en el salón

Lo que realmente preocupa de esta situación no son la treintena de equipos detectados, que no dejan de ser una anécdota estadística. Lo verdaderamente aterrador es la vulnerabilidad que esta situación deja al descubierto. Estos incidentes son apenas un ensayo general que demuestra la exposición que podrían tener millones de ciudadanos y empresas ante una ofensiva a mayor escala.

En un escenario de conflicto geopolítico real, estos rúteres podrían dejar de ser simples electrodomésticos para convertirse en armas al servicio de los intereses del atacante. Si este poseyera la capacidad de infiltrarse en la intimidad de nuestras redes, tendría a su disposición la oportunidad de silenciar comunicaciones, manipular la información que emitida mediante el secuestro de datos o colapsar la actividad económica de un país entero con solo pulsar una tecla.