Routers comprometidos para redirigir el tráfico online

Según ha publicado Infoblox, una nueva amenaza que manipula los routers ha llegado al menos a cerca de 40 países. La campaña se centra en determinados routers de acceso a Internet, sobre todo modelos antiguos y resuelve las peticiones de los dispositivos conectados a él desviándolas del proveedor de Internet habitual para llevarlas a servidores de Aeza International.

Al parecer, en julio de 2025 el gobierno de Estados Unidos autorizó a Aeza como empresa de hosting en teoría segura. Sin embargo, los routers comprometidos envían todas las consultas DNS a “resolvers” que estén en servidores de esta empresa, que son fiables a peticiones de webs como Google, “pero son muy impredecibles para otros dominios, redirigiendo a los usuarios objetivo al TDS malicioso de los atacantes”.

El TDS es un sistema de distribución de tráfico que se basa en HTTP con el que identifican a los usuarios. Cuando han verificado que provienen de routers comprometidos, los envían a plataformas Adtech “que a su vez dirigen al usuario a webs potencialmente peligrosas que a menudo contienen malware y otra serie de amenazas”.

Renée Burton, VP de Infoblox Threat Intel, señala que, “cuando un usuario trata de acceder a un sitio de Internet, nunca se pregunta qué procedimiento utiliza su router para obtener la dirección, simplemente confían en que la respuesta será correcta. Esta campaña demuestra lo peligroso que puede resultar una vulneración de esa confianza, sin que el usuario se percate de ello: una vez que los atacantes controlan el DNS en el router, controlan también cada conexión a Internet, y el usuario puede ser desviado, sin su conocimiento a sitios que tratan de rentabilizar su navegación”.