Las vulnerabilidades pueden impactar una amplia gama de dispositivos, pero es especialmente preocupante cuando afectan a los routers. En este artículo, abordaremos una nueva campaña maliciosa de Mirai que aprovecha un fallo de ejecución remota de comandos en routers D-Link. Te explicaremos qué tan grave puede ser para ti y qué acciones puedes tomar para evitar inconvenientes.
La vulnerabilidad en cuestión ha sido identificada como CVE-2025-29635. No es un fallo reciente, ya que el INCIBE, Instituto Nacional de Ciberseguridad, ya había emitido advertencias al respecto en marzo de 2025. Sin embargo, es ahora cuando se ha comenzado a utilizar esta vulnerabilidad en la nueva campaña de Mirai, lo que requiere que tomes medidas para evitar posibles problemas.
Problemas en routers D-Link
Este fallo fue descubierto por Akamai Security, una firma de ciberseguridad, como se indica en su publicación del 21 de abril. Aunque se detectó hace meses, es la primera vez que se ha visto una explotación activa. Informan que se han registrado intentos de explotación en su red global de honeypots a comienzos de marzo de 2026.
Es importante señalar que esta vulnerabilidad afecta a los routers de la serie D-Link DIR-823X con firmware 240126 y 24082. Si un atacante logra explotar este fallo, podría ejecutar comandos arbitrarios en dispositivos remotos mediante el envío de una solicitud POST al endpoint /goform/set_prohibiting.
Para respaldar sus hallazgos, los investigadores de seguridad publicaron en GitHub una prueba de concepto, aunque luego fue retirada.
Si los atacantes logran aprovechar esta vulnerabilidad, pueden descargar un script que posteriormente instala un malware basado en Mirai denominado «tuxnokill», que es compatible con diversas arquitecturas. Esto podría resultar en ataques DDoS, inundaciones UDP y HTTP null.
Además, Akamai ha descubierto que los responsables de la campaña también están explotando la vulnerabilidad CVE-2023-1389, que afecta a routers TP-Link, así como una vulnerabilidad de ejecución remota de código (RCE) en los routers ZTE ZXV10 H108L.
Dispositivos desactualizados
Es relevante mencionar que los dispositivos afectados alcanzaron su fin de ciclo de vida en noviembre de 2024. Por lo tanto, es muy probable que el firmware más reciente en ese momento ya sea vulnerable. Además, D-Link no proporciona actualizaciones una vez que se detectan vulnerabilidades como esta.
Entonces, ¿qué medidas puedes tomar? Si posees un modelo de router que se considera obsoleto y que presenta esta vulnerabilidad, lo más recomendable es sustituirlo por uno nuevo. Esto no solo mejorará la seguridad, sino que también potenciará el rendimiento, permitiéndote conectar múltiples dispositivos y lograr una buena velocidad y estabilidad.
Adicionalmente, como buenas prácticas para cualquier router, deberías cambiar el nombre de usuario y la contraseña predeterminados, revisar los dispositivos conectados a la red y estar atento a cualquier modificación en la configuración. Estas acciones te ayudarán a fortalecer tu seguridad y reducir el riesgo de enfrentar problemas en tu navegación.
Preguntas frecuentes
¿Cómo puedo saber si tengo un router D-Link DIR-823X afectado?
Busca el número de modelo en la etiqueta en la parte inferior o posterior del router. También puedes acceder a la interfaz de administración del router (normalmente en 192.168.0.1 o 192.168.1.1) para verificar la información del dispositivo. Los modelos afectados son DIR-823X con versiones de firmware 240126 y 24082.
¿Qué debo hacer si tengo uno de estos routers afectados?
Dado que los modelos DIR-823X llegaron al final de su ciclo de vida en noviembre de 2024 y D-Link no ofrecerá más actualizaciones, se recomienda reemplazar el router por un modelo más reciente que continúe recibiendo soporte de seguridad. Como medida temporal, cambia las credenciales predeterminadas y monitorea el tráfico de la red.
¿Qué otros routers están siendo atacados en esta campaña además de los D-Link?
Según Akamai, los atacantes también están aprovechando la vulnerabilidad CVE-2023-1389 en routers TP-Link y una vulnerabilidad de ejecución remota de código (RCE) en los routers ZTE ZXV10 H108L. Si posees alguno de estos modelos, asegúrate de verificar si hay actualizaciones de firmware disponibles.
