Cómo saber si tu router está infectado por malware y protegerlo

Wowmania » Moviles » Cómo saber si tu router está infectado por malware y protegerlo

Tu router es el gran olvidado de tu casa: lo configuras el primer día, colocas la contraseña del Wi-Fi en una pegatina y te olvidas… hasta que la conexión empieza a ir fatal, las webs se comportan raro o te aparecen anuncios que no sabes de dónde salen. En muchos casos pensamos en un virus en el ordenador, pero pocas veces sospechamos del responsable silencioso de todo el tráfico: el propio router.

Los ciberdelincuentes llevan años apuntando directamente a los routers porque son un punto único de fallo y reciben diversos vectores de ataque: si comprometen ese cacharro del salón, tienen una puerta de entrada a todos tus dispositivos y a todo lo que haces online. Entender cómo se infecta, qué síntomas da, cómo limpiarlo y cómo blindarlo es clave para tener una red doméstica sana y no vivir con la conexión hipotecada por un malware que ni ves.

Los ciberdelincuentes llevan años apuntando directamente a los routers porque son un punto único de fallo: si comprometen ese cacharro del salón, tienen una puerta de entrada a todos tus dispositivos y a todo lo que haces online. Entender cómo se infecta, qué síntomas da, cómo limpiarlo y cómo blindarlo es clave para tener una red doméstica sana y no vivir con la conexión hipotecada por un malware que ni ves.

¿Puede un router infectarse con virus o malware?

Sí, un router puede infectarse con virus, gusanos y otros tipos de malware, igual que un ordenador o un móvil, incluidos rootkits. Cualquier dispositivo que tenga un sistema operativo (Linux recortado, firmware propietario, etc.) y que acepte conexiones externas puede ser atacado si tiene vulnerabilidades o está mal configurado.

El caso de VPNFilter se ha convertido en el ejemplo clásico: este malware llegó a afectar a más de medio millón de routers y dispositivos de red en decenas de países. Era capaz de interceptar información sensible (como credenciales web), lanzar ataques coordinados y hasta dejar los routers inservibles a distancia.

Otro ejemplo famoso es el troyano Switcher, que infectaba móviles Android y, desde ahí, realizaba ataques de fuerza bruta contra el router de la víctima. Una vez dentro, cambiaba la configuración DNS para redirigir toda la navegación a servidores controlados por los atacantes, abriendo la puerta a páginas falsas y robo de datos masivo.

También se han visto ataques específicos contra ciertos fabricantes: en 2018 se descubrió una campaña de criptominería que aprovechaba vulnerabilidades en routers MikroTik. El objetivo era inyectar scripts maliciosos que obligaban a los dispositivos conectados a minar criptomoneda, consumiendo recursos y ancho de banda sin que el usuario notara más que una Internet perezosa.

En resumen: si el router tiene un sistema operativo, puede tener malware. Y lo peor: a diferencia del ordenador, casi nadie lo escanea ni lo mantiene al día, así que el bicho puede vivir ahí meses o años sin que nadie lo moleste.

¿Cómo se infecta un router con malware?

Un router se infecta cuando alguien consigue colarse en su panel de administración o explota un fallo de seguridad en su firmware. A partir de ahí, el atacante puede modificar la configuración, instalar código malicioso o enganchar el dispositivo a una botnet sin que te enteres.

La vía más sencilla suele ser la contraseña de administrador: muchos routers llegan de fábrica con credenciales como “admin/admin” o combinaciones igual de ridículas, y muchísima gente nunca las cambia. Si el atacante sabe el modelo de tu router (algo tan simple como ver el nombre de la red o hacer un escaneo), puede probar la contraseña por defecto y entrar en segundos.

La otra gran puerta son las vulnerabilidades del firmware. El software interno del router también tiene errores, y cada año se descubren cientos de nuevas fallas en diferentes modelos. Si no actualizas el firmware, esos agujeros quedan abiertos y pueden explotarse con kits de exploits como GhostDNS, que identifican tu router y lo atacan de forma automática.

Algunas técnicas habituales que se usan una vez que el atacante tiene control sobre el router son:

• Secuestro de DNS: el malware cambia los servidores DNS configurados en el router por otros controlados por los atacantes. Así, aunque veas la URL correcta en la barra del navegador, en realidad te llevan a páginas falsas, webs llenas de anuncios o sitios donde te roban credenciales y datos bancarios.
• Phishing apoyado en el router: un simple clic en un enlace de correo, SMS o red social puede descargar malware en tu dispositivo. Ese malware, a su vez, se conecta al router y trata de forzar su acceso para modificar configuración y propagarse a otros equipos de la red.
• Ataques de supresión de SSL (SSL stripping): el malware puede forzar que algunas webs que deberían ir por HTTPS se carguen por HTTP. Pierdes el candado de seguridad, pero a veces el cambio es tan sutil que ni lo notas, y el atacante puede espiar o manipular el tráfico.
• Troyanos y gusanos que “saltan” de red en red: un troyano que instalas al descargar algo pirata, por ejemplo, puede incluir un módulo especializado en detectar redes Wi-Fi vulnerables y propagar la infección a otros routers domésticos o públicos.

Los módems también pueden infectarse, aunque en general suelen ser algo menos atacados que los routers Wi-Fi. Aun así, los equipos combinados módem+router, muy típicos de los ISP, concentran tantas funciones (router, Wi-Fi, teléfono, etc.) que se convierten en un caramelo para cualquier ciberdelincuente.

Qué puede hacer un ciberdelincuente con un router infectado

Un router comprometido es como darle las llaves de tu casa digital a un desconocido. Todo tu tráfico pasa por él, así que las posibilidades de abuso son enormes. No se trata solo de que te “roben Wi-Fi” para ver Netflix; los escenarios son bastante más serios.

Uno de los usos más habituales es convertir tu router en parte de una botnet. Malware como Mirai o Mēris se especializa en infectar routers y otros dispositivos IoT para usarlos en ataques DDoS masivos contra webs, bancos o servicios online. Tú solo notas que Internet va a pedales, pero tu router está machacando a peticiones a un objetivo que ni conoces.

Otra consecuencia grave es el robo de datos. Como todo pasa por el router (logins, compras online, correos, documentos que subes o bajas), un malware bien diseñado puede espiar, registrar credenciales, capturar números de tarjeta o interceptar documentos sensibles sin que veas nada raro en pantalla.

El secuestro de DNS permite mostrarte páginas falsas indistinguibles de las originales: copias de bancos, tiendas, redes sociales o servicios de correo donde tú introduces tu usuario y tu contraseña tan tranquilo. En realidad, estás alimentando de datos a los atacantes, que luego los usan para vaciar cuentas, extorsionarte o vender esa información en la dark web.

También se usan routers hackeados para minería ilegal de criptomonedas, ejecutando scripts en los navegadores de los usuarios o enviando instrucciones a los dispositivos conectados. Esto dispara el uso de CPU, aumenta la factura de la luz y acorta la vida de los equipos, todo para llenar el bolsillo del atacante.

Y por si fuera poco, un router infectado sirve de base para comprometer el resto de dispositivos de la red: ordenadores, móviles, tabletas, televisores inteligentes, cámaras IP, etc. Una vez han cruzado la puerta del router, el siguiente paso lógico es moverse lateralmente e ir infectando todo lo que pillen.

Síntomas claros de que tu router puede estar infectado por malware

Detectar un router comprometido no siempre es obvio, porque muchos ataques están diseñados para ser discretos. Aun así, hay una serie de señales que deberían ponerte en guardia si se repiten con frecuencia.

Velocidad de Internet lenta o inestable: un bajón puntual es normal, pero si tu conexión va mucho peor que antes, con cortes, picos de latencia y descargas desesperadamente lentas sin que el operador detecte fallo, es posible que el router esté enviando tráfico malicioso (por ejemplo, en una botnet) o redirigiendo tu conexión a servidores intermedios.

Bloqueos frecuentes de programas y de los propios dispositivos: si el router se utiliza como puerta de entrada para instalar adware, troyanos o ransomware en tu ordenador, empezarás a notar cuelgues, reinicios, errores extraños o pantallas que se congelan sin razón aparente.

Redirecciones raras en el navegador: escribes una URL conocida y acabas en una web diferente, más cutre, llena de anuncios, o en una página de login que “parece” la de siempre pero con pequeños detalles distintos. También puede pasar que al hacer búsquedas Google te lleve a sitios que no cuadran con lo que has buscado.

Páginas de confianza que se ven o se comportan de forma distinta: ausencia del candado HTTPS donde antes sí estaba, formularios que te piden más datos de lo normal, errores extraños al iniciar sesión, consumo de CPU del navegador disparado… Todo eso encaja con un posible secuestro de DNS o inyección de scripts maliciosos desde el router.

Publicidad agresiva, barras de herramientas y software que no recuerdas haber instalado en tus dispositivos: bloatware, toolbars y adware son consecuencias típicas de haber navegado a sitios maliciosos a los que te redirige un router comprometido. Si aparecen a la vez en varios equipos de la casa, la sospecha sobre el router sube muchos enteros.

Mensajes falsos de antivirus o avisos de ransomware: el scareware (falsas alertas de antivirus) busca que compres una supuesta “protección definitiva”, mientras que el ransomware directamente cifra tus archivos y exige un pago. Aunque estos ataques se ejecuten en el ordenador, la infección puede haber entrado vía router.

Actividad sospechosa en el panel del router: si accedes a la interfaz de administración y ves dispositivos desconocidos conectados, cambios de configuración que tú no has hecho, registros con intentos de acceso continuos o direcciones DNS que no reconoces, toca ponerse serio.

Cómo comprobar si tu router tiene malware

La comprobación ideal combina sentido común, revisión manual y herramientas especializadas. No se trata solo de pasar un antivirus y listo, porque el router en sí no lo puedes escanear como un ordenador normal.

Primero, revisa los síntomas que estás experimentando: lentitud crónica, muchas redirecciones, anuncios extraños, software que aparece solo… Si varias de las señales anteriores coinciden, tu nivel de alerta debe subir un par de escalones.

Después, usa las funciones de inspección de red de un buen antivirus. Muchos productos actuales incluyen un “inspector de red” o “analizador Wi-Fi” que revisa tu red doméstica en busca de vulnerabilidades, configuraciones peligrosas y dispositivos sospechosos. Estas herramientas suelen:

• Escanear tu red Wi-Fi e identificar todos los dispositivos conectados (incluyendo el router).
• Marcar problemas típicos como puertos abiertos peligrosos, firmware desactualizado, cifrado débil o WPS activo.
• Avisarte si detectan configuraciones de DNS anómalas o patrones que encajan con ataques conocidos.

Por último, conviene comprobar a mano la configuración DNS del router. El procedimiento exacto depende del modelo, pero el esquema es similar:

1. Accede al panel de administración del router desde el navegador escribiendo su dirección IP (suelen ser 192.168.0.1, 192.168.1.1, 10.0.0.1, etc.).
2. Inicia sesión con tu usuario y contraseña de administración. Si siguen siendo las de fábrica, ya tienes un primer problema que resolver.
3. Busca el apartado de configuración de Internet o red WAN y localiza los campos de DNS.
4. Comprueba si están en modo automático (los gestiona tu proveedor) o si aparecen direcciones raras que no reconoces.

Si ves servidores DNS que no corresponden a tu operadora o a servicios conocidos que hayas configurado tú mismo, es muy posible que el router haya sido manipulado y tu tráfico esté pasando por servidores maliciosos.

Cómo eliminar un virus o malware de tu router

Si sospechas que tu router está comprometido, lo más efectivo es “limpiarlo de raíz”. Algunas infecciones pueden ser muy tozudas, pero en la mayoría de los casos un buen reseteo y una reconfiguración segura marcan la diferencia.

Antes de tocar nada, haz copia de seguridad de tus datos importantes. Restablecer el router no borra archivos del ordenador, pero muchas veces, cuando se detecta un ataque en la red, también se aprovecha para limpiar y revisar los equipos. Tener tus documentos a salvo en un disco externo o en la nube nunca sobra.

Después, realiza un restablecimiento de fábrica del router. Todos los modelos incluyen un pequeño botón de “reset” que se activa con un clip o algo similar. Manteniéndolo pulsado unos 10-30 segundos (según modelo) el dispositivo vuelve a su configuración de origen: se borran redes, contraseñas, puertos reenviados, DNS manuales… pero suele mantenerse la versión de firmware que tenga instalada.

En el caso de malware como VPNFilter, el reseteo de fábrica es clave porque elimina los módulos maliciosos residentes en el dispositivo. Otros ataques, como los basados en troyanos que cambian DNS, pueden requerir además limpiar el móvil u ordenador que los originó para que no vuelvan a modificar el router.

Una vez el router está “virgen”, toca actualizar el firmware. Entra de nuevo en el panel con las credenciales por defecto (que tendrás apuntadas en la pegatina del router o en el manual), ve al apartado de actualización y:

1. Descarga desde la web oficial del fabricante la última versión de firmware específica para tu modelo.
2. Sube el archivo al router desde la sección de administración correspondiente y espera a que complete el proceso.
3. No apagues ni desconectes el router durante la actualización para evitar dejarlo inutilizable.

Con el firmware al día, el siguiente paso es cambiar todas las contraseñas relacionadas con el router. No solo la de la red Wi-Fi, también, y sobre todo, la contraseña de administrador del propio dispositivo, que es la llave que los atacantes necesitan.

Crea claves largas, únicas y difíciles de adivinar, evitando nombres, fechas y cosas que puedan asociarse contigo fácilmente. Un buen gestor de contraseñas te permite generar y guardar combinaciones robustas sin tener que memorizarlas todas.

Para terminar de rematar la limpieza, pasa un buen antivirus en todos los equipos que se conectan al router: ordenadores, móviles, tablets… Haz un escaneo completo, incluyendo unidades de red y modos de arranque, para asegurarte de que no queda ningún troyano o gusano listo para volver a tocar la configuración del router en cuanto pueda.

Cómo proteger tu router y tu red de futuras infecciones

Una vez has limpiado la casa, lo importante es no volver a dejar la puerta abierta. La buena noticia es que muchas de las medidas de protección no cuestan dinero y solo requieren algo de disciplina.

1. Usa contraseñas sólidas y distintas. Cambia siempre las credenciales por defecto del router y de la red Wi-Fi nada más instalarlo. Utiliza frases de paso largas (varias palabras sin relación entre sí) o contraseñas aleatorias generadas por un gestor. No reutilices claves que ya uses en otras cuentas.

2. Mantén el firmware del router siempre actualizado. Activa, si tu equipo lo permite, las actualizaciones automáticas. Si no, entra al menos una vez al mes a la web del fabricante y comprueba si hay nuevas versiones o parches de seguridad. Actualizar el router es tan importante como actualizar Windows, Android o iOS.

3. Desactiva el acceso remoto al panel de administración si no lo necesitas. Muchos ataques explotan precisamente la gestión remota a través de Internet. Limitando el acceso al panel solo desde tu red local (o incluso solo por cable Ethernet) reduces muchísimo la superficie de ataque.

4. Configura bien la red Wi-Fi: usa cifrado WPA2 o WPA3, desactiva WPS (el botón de conexión rápida) siempre que sea posible, y plantea crear una red de invitados para visitas o dispositivos de confianza dudosa. Así, si alguien trae un equipo infectado, al menos no comparte la misma red interna que tus ordenadores principales.

5. Pasa análisis regulares con un antivirus que incluya escáner de red. No esperes a notar síntomas para revisar el estado de tu Wi-Fi. Un chequeo cada cierto tiempo detectará configuraciones peligrosas, dispositivos inesperados o intentos de acceso sospechosos.

6. Evita las webs “todo gratis” y las descargas pirata. El mayor peligro de estas páginas no son las cookies, sino los scripts maliciosos, pop-ups engañosos, reproductores falsos y binarios infectados que intentan colarte. Aunque tú no suelas usarlas, si alguien en tu casa entra a menudo desde tu Wi-Fi, está elevando el riesgo para toda la red.

7. Ten cuidado con las redes Wi-Fi públicas. Conectarte a redes abiertas de aeropuertos, cafeterías o centros comerciales implica riesgos, sobre todo por la posibilidad de ataques “hombre en el medio”. Aunque un dispositivo infectado no transmite el virus “por el aire” al tuyo solo por compartir Wi-Fi, sí puede, si no se aísla bien el tráfico, aprovechar debilidades del router o de otros equipos. Cuando ese dispositivo vuelve a tu casa y se conecta a tu red, si trae malware que ataca routers, podría intentar comprometer el tuyo.

8. Aislamiento entre clientes y segmentación de la red. Muchas configuraciones de router incluyen funciones tipo “Aislamiento AP” o “Aislamiento entre clientes conectados”. Activarlas impide que un dispositivo conectado al Wi-Fi pueda comunicarse directamente con otro, reduciendo la posibilidad de que un equipo infectado ataque a los demás dentro de la misma red.

9. Considera el uso de una VPN fiable en el router o en los dispositivos. Una VPN cifra tu tráfico desde el dispositivo hasta el servidor VPN, de modo que, aunque alguien pueda espiar tu Wi-Fi (especialmente en redes públicas), no verá lo que haces. Ojo: una VPN no arregla un router ya infectado, pero sí dificulta algunos tipos de espionaje de tráfico.

10. Revisa periódicamente los dispositivos conectados y los registros del router. Dedicar unos minutos al mes a comprobar qué está conectado, qué direcciones IP aparecen y si hay intentos de acceso fallidos te puede ayudar a detectar problemas muy pronto.

Vivir tranquilo con tu red doméstica no significa obsesionarse, pero sí asumir que el router es una pieza crítica que merece el mismo cuidado que tu ordenador o tu móvil. Si entiendes cómo se infecta, qué síntomas da, cómo limpiarlo y cómo blindarlo con buenas contraseñas, firmware actualizado, desactivación de funciones innecesarias y escaneos regulares, tendrás muchas menos papeletas para que un malware convierta tu Wi-Fi en un coladero o en un peón silencioso de una botnet ajena.