- KadNap transforma routers domésticos, sobre todo Asus, en parte de una botnet y red proxy usada por ciberdelincuentes.
- Su arquitectura peer-to-peer basada en Kademlia DHT dificulta enormemente la detección y el desmantelamiento.
- El usuario casi no percibe síntomas; la protección pasa por actualizar firmware, cambiar credenciales y revisar la configuración.
- Un router comprometido pone en riesgo todo el ecosistema doméstico y se usa para ataques, fraudes y tráfico anónimo malicioso.
Si tienes un router en casa y lo configuras el primer día para olvidarte de él, no eres el único. Ese pequeño aparato que suele acumular polvo en una esquina del salón se ha convertido en el nuevo objetivo estrella de los ciberdelincuentes, y un malware llamado KadNap es el mejor ejemplo de ello.
En los últimos meses, investigadores de varias firmas de seguridad han destapado una botnet formada por alrededor de 14.000 routers y dispositivos de red repartidos por todo el mundo, en su mayoría de la marca Asus, que están siendo utilizados de forma silenciosa como infraestructura para ataques y actividades delictivas en Internet.
Qué es KadNap y por qué ha encendido todas las alarmas
Los analistas de Lumen Technologies, a través de su equipo de inteligencia de amenazas Black Lotus Labs, han identificado un malware sofisticado, bautizado como KadNap, diseñado específicamente para infectar routers y otros equipos de red. A diferencia de otros códigos maliciosos pensados para robar datos o cifrar archivos, su finalidad principal es distinta.
En este caso, el objetivo es convertir los routers comprometidos en nodos de una enorme red proxy y de una botnet capaz de apoyar ciberataques a gran escala. Dicho de otro modo: los delincuentes se apropian del dispositivo, lo integran en una red clandestina y a partir de ahí lo usan para enrutar tráfico malicioso y ocultar el origen real de sus acciones.
Las investigaciones han revelado que la botnet KadNap se detectó por primera vez alrededor de agosto de 2025, y desde entonces se ha mantenido bastante estable, con aproximadamente 14.000 equipos activos al día. En los primeros análisis se contabilizaron unos 10.000 dispositivos infectados, pero la cifra ha ido aumentando con el tiempo.
Una de las cosas que más ha preocupado a los expertos es que KadNap está creado para ser extremadamente resistente a los intentos de desmantelamiento. No se limita a colarse en el router y ya está: incorpora mecanismos técnicos avanzados para seguir funcionando incluso cuando parte de la red cae o algunos nodos se limpian.
Este malware no actúa en solitario. La infraestructura que monta se ha relacionado directamente con Doppelganger, un servicio de proxies de pago que alquila el acceso a estas conexiones residenciales comprometidas, de forma que los clientes del servicio puedan navegar de forma anónima, saltarse bloqueos geográficos o ejecutar acciones maliciosas sin que su propia IP quede expuesta.
Cómo convierte KadNap tu router en parte de una botnet
La base de toda esta operación es la creación de una botnet, que no es más que una red de dispositivos conectados a Internet que han sido comprometidos y pasan a estar bajo el control remoto de los atacantes. Dentro de esta categoría entran routers, repetidores WiFi, cámaras IP, electrodomésticos inteligentes y prácticamente cualquier equipo con conexión.
En el caso concreto de KadNap, la mayoría de las víctimas son routers domésticos Asus, aunque también se han encontrado otros dispositivos de red afectados. Los atacantes aprovechan vulnerabilidades conocidas en el firmware de estos aparatos que no han sido parcheadas por sus propietarios, y las explotan mediante scripts y herramientas automatizadas.
Una vez que el exploit tiene éxito, el malware se instala en el dispositivo y configura el router para integrarlo dentro de una red distribuida. Desde ese momento, el tráfico que circula a través del equipo puede ser redirigido y utilizado como parte de campañas maliciosas, ya sea para montar ataques o para servir de pasarela anónima.
Ese tráfico puede tener distintas finalidades: lanzar ataques de denegación de servicio distribuido (DDoS), llevar a cabo campañas de fuerza bruta contra servicios en línea, explotar vulnerabilidades en otros sistemas o participar en fraudes y estafas en Internet. Desde fuera, todo parece proceder de una conexión residencial normal y corriente.
Lo más inquietante es que cada dirección IP asociada a esta botnet se convierte en un riesgo continuado tanto para usuarios individuales como para organizaciones. No solo porque la conexión se use para actividades ilícitas, sino porque el router comprometido puede actuar como punto de apoyo para intentar acceder al resto de dispositivos del hogar o la oficina.
La arquitectura técnica: red peer-to-peer y Kademlia DHT
Uno de los rasgos más distintivos de KadNap es su arquitectura de mando y control basada en una red peer-to-peer (P2P) sustentada en el protocolo Kademlia DHT. Esto supone un salto importante respecto a muchas botnets tradicionales, que suelen depender de uno o varios servidores centrales.
En un modelo clásico de botnet, los dispositivos infectados contactan con un servidor de comando y control (C2) concreto para recibir órdenes. Si las fuerzas de seguridad o una empresa de ciberseguridad logran identificar y tumbar ese servidor, buena parte de la red queda inútil o muy debilitada.
En KadNap, la lógica es diferente: la comunicación entre los nodos se distribuye a través de una tabla hash distribuida (DHT) siguiendo el esquema de Kademlia. Esta misma tecnología se ha utilizado durante años en redes como BitTorrent o el sistema IPFS para compartir información de forma robusta y difícil de censurar.
Gracias a este diseño, cada router infectado puede almacenar y consultar información sobre otros nodos de la red sin necesidad de un centro de control único. Cuando necesita instrucciones o quiere transmitir datos, no tiene que dirigirse a un servidor concreto, sino que consulta a otros nodos cercanos en la DHT y va encaminando las peticiones hasta llegar al destino adecuado.
Esta descentralización hace que la botnet sea muchísimo más resistente frente a intentos clásicos de desarticulación, como el bloqueo de dominios o la toma de servidores de control. Aunque se consiga aislar o limpiar una parte de los routers, el resto de la red puede seguir operando y reorganizándose sin demasiadas dificultades.
Qué hacen realmente los ciberdelincuentes con esta red
Desde el punto de vista práctico, KadNap permite construir una inmensa infraestructura de proxies anónimos apoyada en conexiones residenciales legítimas. Esto aporta varias ventajas a quienes están detrás de la botnet, tanto técnicas como “reputacionales”.
En primer lugar, el tráfico que sale de estos routers comprometidos tiene toda la apariencia de una navegación normal de un usuario doméstico. Las direcciones IP pertenecen a operadoras conocidas, muchas veces con buena reputación, y eso ayuda a que los filtros de seguridad de webs y servicios online no salten a la mínima sospecha.
Los operadores de la botnet vinculan esta red con Doppelganger, un servicio de proxies de pago pensado para clientes que quieren ocultar su identidad en Internet. A través de este sistema, el tráfico de esos usuarios se enruta por los routers secuestrados, lo que permite hacer cosas como:
- Acceder a sitios bloqueados o con georrestricciones aprovechando IPs de distintos países.
- Realizar ataques DDoS o escaneos masivos de puertos sin revelar la IP real del atacante.
- Llevar a cabo fraudes, campañas de spam o intentos de intrusión aparentando proceder de usuarios legítimos.
Además de esta vertiente de proxy anónimo, el tráfico canalizado por KadNap se utiliza para ataques de fuerza bruta, explotación selectiva de vulnerabilidades y posibles campañas delictivas a gran escala. El hecho de que la red funcione de forma distribuida y muy discreta la convierte en una herramienta especialmente valiosa para grupos de ciberdelincuencia.
Según los informes publicados, los bots de KadNap se comercializan como un recurso “as-a-service”, es decir, se alquila el uso de esas conexiones y recursos a otros actores maliciosos. Esto encaja con la tendencia del cibercrimen como servicio, donde la infraestructura y las herramientas se profesionalizan y se ponen a disposición de quien esté dispuesto a pagar.
Dónde se ha detectado KadNap y a quién afecta
Los análisis de Lumen Technologies y otros expertos apuntan a que la mayoría de los dispositivos infectados por KadNap se concentran en Estados Unidos, donde se encuentran buena parte de esos 14.000 routers y equipos de red comprometidos.
Sin embargo, la distribución geográfica es bastante amplia: se han identificado víctimas en países de Europa, así como en regiones como Taiwán, Hong Kong, Rusia, Brasil, Reino Unido y Australia. Cada nuevo punto de acceso añadido a la red amplía la superficie disponible para enrutar tráfico y diversificar el origen aparente de las conexiones.
Por ahora, no hay evidencias claras de una presencia significativa en España, al menos en los primeros informes difundidos. No obstante, los investigadores advierten de que ese escenario puede cambiar con rapidez, sobre todo si los atacantes ajustan sus campañas de explotación a otros fabricantes o modelos populares en Europa.
El foco sobre routers Asus no significa necesariamente que exista una vulnerabilidad secreta o de “día cero” sin documentar. Todo apunta a que los operadores de KadNap disponen de exploits muy fiables para ciertos fallos ya conocidos en modelos concretos, y que muchas personas no han actualizado el firmware para corregirlos.
En cualquier caso, el hecho de que la mayoría de objetivos sean routers domésticos y dispositivos de red poco vigilados demuestra hasta qué punto estos equipos se han convertido en la pieza débil de muchas infraestructuras, tanto en hogares como en pequeñas empresas.
Por qué es tan difícil detectar un router infectado por KadNap
Una de las grandes bazas de KadNap es su capacidad para pasar totalmente desapercibido para el usuario medio. No muestra ventanas emergentes, no encripta archivos, no pide rescates y, en general, no provoca síntomas demasiado llamativos en el día a día.
En muchos casos, la única pista perceptible podría ser una ligera ralentización de la conexión WiFi en momentos concretos. Puede notarse que, de vez en cuando, el ancho de banda parece más saturado de lo normal, o que ciertas páginas tardan un poco más en cargar sin motivo aparente.
Ese bajo perfil es deliberado: cuanto menos ruido genere el malware y menos sospechas despierte, más tiempo podrá seguir utilizando el router como parte de la botnet. Desde la perspectiva de los atacantes, no tiene ningún sentido “quemar” un dispositivo si puede seguir siendo útil durante meses o años.
Para complicar un poco más la situación, el diseño descentralizado de KadNap hace que no exista un servidor central fácil de localizar y bloquear. Aunque algunos nodos maliciosos sean detectados por soluciones de seguridad o por administradores de red, el resto de la infraestructura continuará funcionando con normalidad.
Los propios investigadores recomiendan, para usuarios avanzados o administradores, revisar los registros del router en busca de conexiones sospechosas, direcciones IP inusuales o determinados identificadores (hashes) asociados a KadNap. No obstante, esta tarea no está al alcance de cualquier persona sin conocimientos técnicos.
Cómo se mantiene y se reinstala el malware en los dispositivos
Otro aspecto que inquieta a los especialistas es que KadNap no desaparece con un simple reinicio del router. En muchos aparatos, los atacantes han conseguido que el código malicioso se ejecute de nuevo al arrancar o que quede alojado en áreas de memoria que no se borran con un apagado rápido.
Esto significa que, si no se toman las medidas adecuadas, el malware puede reinstalarse automáticamente tras un reinicio básico. El propietario puede pensar que ha resuelto un problema de lentitud o de funcionamiento apagando y encendiendo el equipo, pero el núcleo de la infección seguirá ahí.
Según los informes técnicos, el malware aprovecha la falta de parches y configuraciones inseguras para reactivarse, siguiendo diversos vectores de ataque en ciberseguridad. En muchos routers, la combinación de contraseñas por defecto, servicios de administración remota abiertos y firmware obsoleto facilita mucho el trabajo a los atacantes.
Esta persistencia hace que la desinfección de un router infectado requiera pasos más drásticos que los habituales. Simplemente desconectarlo de la corriente durante unos minutos no basta, y tampoco es suficiente con cambiar exclusivamente el nombre de la red WiFi o la contraseña de acceso de los clientes inalámbricos.
En los escenarios analizados, la solución real pasa por restaurar completamente el dispositivo a sus valores de fábrica, actualizarlo al último firmware disponible y endurecer luego toda la configuración de seguridad. Si se olvida alguno de estos pasos, el riesgo de una reinfección es muy elevado.
Recomendaciones clave para proteger tu router frente a KadNap
Ante esta situación, los expertos en ciberseguridad son bastante claros: el router debe tratarse como un dispositivo crítico más, no como un simple accesorio que se instala y se deja olvidado. Igual que actualizamos el sistema operativo del móvil u ordenador, el firmware del router requiere atención periódica.
Las principales medidas de protección que recomiendan los investigadores y fabricantes incluyen una combinación de actualizaciones regulares, cambios de credenciales y revisión de funciones innecesarias. Aunque pueda sonar complejo, muchos de estos pasos se pueden realizar desde el propio panel web del router.
- Actualizar el firmware: comprobar de forma regular si hay nuevas versiones publicadas por el fabricante e instalarlas cuanto antes, especialmente si corrigen fallos de seguridad.
- Cambiar las contraseñas por defecto: modificar tanto la clave de administrador del router como las credenciales de acceso WiFi, evitando combinaciones simples o reutilizadas.
- Desactivar el acceso remoto si no se necesita: muchos modelos permiten administrar el router desde fuera de casa; si no se usa esta función, lo mejor es tenerla apagada.
- Revisar la configuración periódicamente: comprobar que no se han añadido reglas de reenvío de puertos extrañas, DNS sospechosos o usuarios administrativos desconocidos.
En caso de sospechar que el router puede estar comprometido, la recomendación general es realizar un restablecimiento completo a los valores de fábrica antes de volver a configurarlo. Este proceso suele hacerse mediante un botón físico de reset o desde el panel de administración, y devuelve el dispositivo al estado inicial.
Tras esa restauración, es fundamental actualizar el firmware a la última versión y aplicar todas las buenas prácticas de seguridad. Solo así se reduce de forma notable la posibilidad de que el dispositivo vuelva a ser vulnerable a los mismos exploits que aprovechaba KadNap.
El router como eslabón débil del Internet de las Cosas
El caso de KadNap ilustra muy bien un problema de fondo: cada vez vivimos rodeados de más dispositivos conectados, pero muchos de ellos están pobremente protegidos. Desde cámaras de videovigilancia hasta bombillas inteligentes, pasando por televisores y asistentes de voz, todos dependen del router como puerta de entrada y salida.
Los informes de Lumen y otros laboratorios de seguridad coinciden en que el crecimiento del Internet de las Cosas (IoT) ha multiplicado las oportunidades para que los atacantes exploten vulnerabilidades. Cada dispositivo mal configurado o sin actualizar se convierte en una posible pieza más para la construcción de nuevas botnets.
En este contexto, los routers domésticos se han transformado en objetivos especialmente atractivos. Se encuentran encendidos las 24 horas del día, suelen permanecer años sin mantenimiento y concentrar todo el tráfico del hogar, lo que los hace ideales para enrutar conexiones maliciosas sin llamar la atención.
Para los ciberdelincuentes, controlar una red distribuida de routers y dispositivos IoT proporciona una plataforma flexible, escalable y muy difícil de rastrear. KadNap y el servicio Doppelganger representan solo una de las muchas formas en las que esta infraestructura se puede explotar.
Este escenario obliga a que tanto usuarios particulares como empresas pequeñas se tomen en serio la seguridad de sus equipos de red. No es únicamente un problema de rendimiento de la conexión; es una cuestión de responsabilidad, ya que una conexión comprometida puede servir para atacar a terceros sin que el propietario sea consciente.
La aparición y expansión de KadNap deja claro que no basta con proteger ordenadores y móviles si el resto de la red permanece desatendido. El router, aunque parezca un aparato aburrido y secundario, puede convertirse sin que lo notemos en una pieza clave de una infraestructura ofensiva global, por lo que cuidarlo y mantenerlo al día es imprescindible para reducir riesgos.
