Rombo
Rombo con líneas discontinuas de color oscuro

Malware que infecta routers domésticos

Malware en routers domésticos afectando a una red WiFi del hogar.

Malware que infecta routers domésticos: qué es, cómo actúa y cómo proteger nuestra red

Cada vez que hablamos de ciberseguridad solemos pensar en ordenadores, móviles o cuentas online, pero rara vez ponemos el foco donde más duele: el router. Y, sin embargo, ahí está uno de los puntos más sensibles de toda la red doméstica. Si un malware consigue infectarlo, no solo compromete la conexión WiFi, sino que puede convertir nuestra casa en una pieza más dentro de una infraestructura usada por ciberdelincuentes. Investigadores de Black Lotus Labs, el equipo de inteligencia de amenazas de Lumen, han documentado precisamente un caso así con KadNap, un malware que ha puesto miles de routers en el punto de mira, sobre todo modelos ASUS.

"This threat primarily targets Asus routers… now above 14,000 infected devices." — Black Lotus Labs / Lumen

Lo importante aquí no es solo el nombre de la amenaza. Lo realmente preocupante es entender que un malware que infecta routers domésticos puede pasar desapercibido durante mucho tiempo. A simple vista, todo parece funcionar: tenemos Internet, la WiFi sigue respondiendo y no vemos alertas en pantalla. Pero por detrás, ese router puede estar sirviendo como nodo de una red proxy, ocultando tráfico malicioso o ayudando a lanzar ataques desde una conexión residencial aparentemente legítima. Eso es justo lo que han descrito tanto Lumen como varios medios que se han hecho eco del hallazgo.

Qué significa que un malware infecte un router doméstico

Cuando hablamos de malware en un router doméstico, no nos referimos al típico virus que cifra archivos o roba contraseñas desde el navegador. Aquí el objetivo es otro: tomar el control de un dispositivo de red que casi nadie revisa y usarlo como infraestructura silenciosa. En lugar de atacar directamente al usuario final, los delincuentes aprovechan ese equipo para desviar tráfico, encubrir conexiones sospechosas y mantener una red distribuida mucho más difícil de tumbar. Black Lotus Labs explica que KadNap convierte routers comprometidos en parte de una botnet que actúa como servicio proxy para actividad criminal.

Eso cambia por completo el enfoque. Si un portátil infectado suele dar señales antes o después, un router comprometido puede seguir funcionando con normalidad aparente. Por eso esta clase de amenaza es tan delicada en entornos domésticos: el usuario no suele entrar al panel de administración, no actualiza el firmware con frecuencia y muchas veces ni siquiera sabe qué modelo exacto tiene instalado. COPE resume muy bien esa realidad al recordar que el router es uno de los dispositivos más olvidados de casa.

"El router suele ser uno de los dispositivos más olvidados de casa." — COPE

Fuente: COPE

Por qué el router se ha convertido en un objetivo tan valioso

Nosotros solemos ver el router como una simple puerta de entrada a Internet, pero para un atacante es mucho más que eso. Es un dispositivo siempre encendido, expuesto a la red, con acceso a todo lo que conectamos en casa y, en muchos casos, con configuraciones poco revisadas. Si además arrastra vulnerabilidades sin parchear o conserva credenciales débiles, se convierte en un candidato perfecto para la infección. Black Lotus Labs describe precisamente que KadNap se apoya en dispositivos edge y routers SOHO expuestos, y ADSLZone añade que el malware se propaga explotando vulnerabilidades que sus propietarios no corrigen.

La ventaja para el atacante es doble. Primero, gana un nodo con apariencia legítima dentro de una red residencial. Segundo, consigue que el tráfico malicioso parezca venir de una vivienda normal, no de una infraestructura evidentemente criminal. Ese disfraz complica el bloqueo y ayuda a eludir controles de seguridad tradicionales. En otras palabras: cuanto más normal parezca el origen del tráfico, más útil resulta el router comprometido.

Cómo funciona este tipo de malware en routers domésticos

En el caso de KadNap, la clave técnica está en su arquitectura. No depende de un único servidor central fácil de localizar y cortar, sino que utiliza una implementación del protocolo Kademlia DHT para ocultar la infraestructura de mando y control dentro de un sistema peer-to-peer. Eso significa que los dispositivos infectados pueden localizar componentes de la red sin revelar de forma simple el núcleo de control. Dicho de forma sencilla: no estamos ante una botnet torpe y lineal, sino ante una amenaza diseñada para resistir mejor las acciones de desmantelamiento.

"KadNap utiliza una red peer-to-peer basada en el protocolo Kademlia DHT." — COPE

Fuente: COPE

Según Lumen, la red se monitoriza desde agosto de 2025 y supera los 14.000 dispositivos infectados, con una concentración importante en Estados Unidos y una afectación destacada sobre routers ASUS, aunque no exclusivamente. La Razón y ADSLZone refuerzan esa misma idea: el volumen de dispositivos comprometidos es elevado y la expansión no se limita a un único entorno.

De la vulnerabilidad sin parchear a la botnet

El patrón que vemos es bastante claro. El malware aprovecha fallos que no han sido corregidos, entra en el router, establece persistencia y lo integra en la red maliciosa. Una vez dentro, el dispositivo deja de ser solo “nuestro router” y pasa a ser también un recurso operativo para terceros. ADSLZone recoge que los investigadores recomiendan actualizar firmware, usar contraseñas seguras y deshabilitar el acceso remoto salvo que sea estrictamente necesario, precisamente porque esas malas prácticas abren la puerta a este tipo de compromisos.

Qué puede pasar si nuestro router de casa está comprometido

La primera consecuencia no siempre la notamos nosotros, y eso es lo que hace que la amenaza sea tan engañosa. El router comprometido puede usarse para ocultar la procedencia real del tráfico de un atacante, participar en campañas de fraude, facilitar accesos encubiertos o servir como base para lanzar ataques. COPE explica que esos nodos pueden redirigir tráfico para ocultar identidad y que, desde fuera, la actividad parece proceder de la conexión doméstica de la víctima.

Eso implica un riesgo técnico y también reputacional. Si una conexión residencial aparece asociada a actividad abusiva, el usuario puede sufrir bloqueos, problemas de rendimiento o comportamientos extraños sin entender el origen. Además, aunque el malware se centre en el router, el peligro se extiende al resto del ecosistema doméstico: cámaras IP, dispositivos IoT, domótica, televisores conectados y cualquier equipo que dependa de esa infraestructura de red. Lumen subraya que el aumento de dispositivos expuestos a Internet amplía las oportunidades para este tipo de campañas.

Cómo saber si un router doméstico podría estar infectado

Aquí está una de las partes más frustrantes del problema: muchas veces no hay síntomas claros. La Razón recoge que la señal más visible podría ser una ligera bajada de velocidad en ciertos momentos, pero incluso eso puede confundirse con problemas normales de conectividad. COPE también insiste en que un router infectado puede pasar desapercibido durante mucho tiempo sin mostrar fallos evidentes.

Aun así, sí hay algunas comprobaciones razonables que podemos hacer:

Señales de alerta más comunes

  • lentitud irregular sin causa aparente,
  • cambios de configuración que no recordamos haber hecho,
  • acceso remoto habilitado cuando no lo usamos,
  • firmware muy antiguo,
  • reinicios extraños o actividad de red fuera de horario,
  • panel de administración inaccesible o modificado.

Estas señales no confirman por sí solas una infección, pero sí justifican una revisión. En este contexto, lo más sensato es no esperar a tener una prueba absoluta: si detectamos varias señales juntas, conviene actuar como si hubiera riesgo real. Las recomendaciones recogidas por COPE y ADSLZone van justo en esa dirección: revisar configuración, actualizar, endurecer credenciales y resetear en caso de sospecha fundada.

Cómo proteger nuestro router frente al malware

La parte buena es que la prevención sigue siendo bastante clara. No existe una medida mágica única, pero sí una combinación de prácticas básicas que reduce mucho la superficie de ataque.

Actualizar el firmware

Es la primera barrera. Si el fabricante publica nuevas versiones, no deberíamos dejarlo para “más adelante”. Tanto COPE como ADSLZone destacan que mantener el router actualizado es una medida básica y una de las recomendaciones más repetidas por los investigadores.

Cambiar las credenciales de administración

Si seguimos usando la contraseña por defecto o una clave débil, estamos regalando medio trabajo al atacante. La recomendación de cambiar credenciales aparece de forma consistente en los análisis recogidos por los medios y en las medidas defensivas asociadas al caso.

Desactivar el acceso remoto si no lo necesitamos

Muchos routers incluyen funciones de administración remota que, si no están bien controladas, amplían la exposición del dispositivo. ADSLZone y COPE coinciden en señalar que conviene deshabilitarlas salvo necesidad real.

Revisar la configuración periódicamente

No basta con instalar el router y olvidarnos. Deberíamos entrar de vez en cuando al panel, comprobar firmware, servicios activos, registros si están disponibles y cualquier cambio inesperado. Puede parecer una tarea menor, pero precisamente este tipo de malware vive de nuestra falta de revisión.

Restablecer a fábrica si sospechamos compromiso

Si vemos señales claras de manipulación o no tenemos certeza sobre el estado del equipo, el restablecimiento de fábrica sigue siendo una de las medidas más recomendables. Eso sí: después hay que reconfigurar bien el dispositivo, actualizarlo y cambiar contraseñas. Tanto COPE como ADSLZone citan el reset como medida de respuesta ante sospecha de hackeo.

Qué hacer si sospechamos que ya han infectado nuestro router

Si creemos que el problema ya puede estar dentro, conviene actuar con orden:

  1. acceder al panel del router y guardar solo la información imprescindible,
  2. actualizar firmware si hay una versión disponible,
  3. cambiar contraseña de administración y WiFi,
  4. desactivar acceso remoto y funciones innecesarias,
  5. revisar DNS y configuraciones alteradas,
  6. restablecer a fábrica si persisten las dudas,
  7. volver a configurar desde cero con credenciales nuevas.

En entornos donde la web, el correo o servicios internos dependen de la conectividad, dejar esta revisión para otro momento es mala idea. Un problema en la red base se puede convertir luego en una cadena de incidencias más seria. Y aquí enlazamos con algo importante para cualquier negocio o proyecto digital: la seguridad no empieza solo en la web, sino en toda la infraestructura que la sostiene. Bitralix, por ejemplo, presenta sus servicios de hosting web como soluciones con seguridad avanzada, estabilidad y soporte 24/7, algo especialmente relevante cuando necesitamos una base más controlada para nuestros proyectos online.

Preguntas frecuentes (FAQs)

¿Qué malware infecta routers domésticos en 2026?

Uno de los casos más comentados es KadNap, una amenaza documentada por Black Lotus Labs que afecta especialmente a routers ASUS y los integra en una botnet usada como red proxy para tráfico malicioso.

¿Cómo saber si mi router tiene malware?

No siempre hay señales claras. Podemos sospechar si detectamos lentitud rara, cambios de configuración no autorizados, acceso remoto activo sin motivo o firmware desactualizado. Los análisis citados insisten en que el compromiso puede pasar inadvertido.

¿Cómo eliminar malware de un router doméstico?

La vía más prudente suele ser actualizar firmware, cambiar credenciales, desactivar funciones innecesarias y, si la sospecha persiste, restablecer el router a valores de fábrica antes de reconfigurarlo por completo.

¿Qué marcas de router pueden verse afectadas?

En el caso de KadNap, la investigación de Lumen apunta principalmente a modelos ASUS, aunque no se limita a una sola marca ni a un único tipo de dispositivo de red.

¿Puede un malware en el router afectar a toda nuestra red WiFi?

Sí. Aunque el objetivo directo sea el router, ese equipo está en el centro de la red doméstica. Si se compromete, el riesgo se extiende al tráfico y a los dispositivos conectados a él.

¿Actualizar el router evita este tipo de amenazas?

No garantiza protección absoluta, pero sí reduce mucho el riesgo, especialmente cuando la infección se apoya en vulnerabilidades conocidas o configuraciones inseguras. Por eso actualizar aparece como la recomendación más repetida en las fuentes revisadas.

Conclusión

El gran problema del malware que infecta routers domésticos es que juega con una ventaja que casi nunca vemos venir: nuestra confianza. Damos por hecho que el router “simplemente funciona”, y justo por eso se ha convertido en un objetivo tan atractivo. KadNap deja una lección muy clara: la ciberseguridad doméstica ya no se limita al antivirus del ordenador ni a una contraseña fuerte en el correo. También pasa por revisar el dispositivo que conecta todo lo demás.

Si queremos reducir riesgos de verdad, necesitamos tratar el router como un activo crítico: actualizarlo, revisar su configuración, eliminar accesos innecesarios y reaccionar rápido ante cualquier sospecha. Y si además gestionamos una web, un negocio online o servicios que no pueden permitirse caídas ni improvisaciones, conviene apoyarnos en una infraestructura sólida, segura y bien acompañada. Bitralix ofrece hosting web, hosting WordPress, seguridad avanzada y soporte técnico 24/7, una combinación muy alineada con esa necesidad de estabilidad y protección continua.

Protejamos nuestra web sobre una infraestructura más segura

Si nos preocupa la seguridad de la red y de los servicios que dependen de ella, merece la pena dar un paso más allá del router doméstico. En Bitralix contamos con soluciones de hosting web, hosting WordPress, certificados SSL y soporte técnico 24/7 para que nuestros proyectos tengan una base más estable, segura y preparada para crecer.

Hosting seguro para tu web con infraestructura protegida de Bitralix.
Comparte este artículo
*
*
¿No tienes cuentas? Regístrate ahora
No te pierdas nuestros próximos contenidos

Cada semana compartimos artículos, casos reales, recomendaciones y recursos para ayudarte a optimizar tu infraestructura tecnológica, mejorar la seguridad y tomar mejores decisiones IT.

Déjanos tu correo y te avisaremos cuando publiquemos nuevo contenido.