Vulnerabilidad Crítica en Routers D-Link es Explotada Activamente

Explotación Activa de Vulnerabilidad Crítica en Routers Pone en Peligro a Usuarios

Una grave vulnerabilidad de seguridad en múltiples modelos antiguos de routers DSL de D-Link está siendo explotada activamente por ciberdelincuentes, poniendo potencialmente a miles de usuarios en riesgo de un compromiso total de su red. La vulnerabilidad, registrada como CVE-2026-0625, tiene una puntuación CVSS crítica de 9.3 sobre 10 y permite a atacantes no autenticados ejecutar comandos de shell arbitrarios de forma remota.

Cómo Funciona la Vulnerabilidad

El fallo de seguridad reside en el endpoint dnscfg.cgi del firmware del router, donde una sanitización insuficiente de los parámetros de configuración DNS permite ataques de inyección de comandos. Según investigadores de seguridad de VulnCheck, los atacantes pueden manipular la configuración DNS y ejecutar comandos de shell sin necesidad de autenticación. 'Esto es esencialmente una toma de control completa del router,' explica el analista de ciberseguridad Mark Johnson. 'Los atacantes pueden redirigir todo el tráfico de internet, interceptar datos sensibles o instalar malware en dispositivos conectados.'

Dispositivos Afectados y Opciones Limitadas

La vulnerabilidad afecta a varios modelos de D-Link lanzados entre 2016 y 2019, incluidos los routers DSL-2740R, DSL-2640B, DSL-2780B y DSL-526B. Estos dispositivos han alcanzado su estado de fin de soporte (end-of-life) y ya no reciben actualizaciones de seguridad por parte de D-Link. La empresa ha reconocido el problema en un aviso de seguridad SAP10488 y está investigando el alcance total de los dispositivos afectados.

'El desafío con el hardware obsoleto es que los fabricantes suelen dejar de proporcionar actualizaciones después de un cierto período,' dice la experta en seguridad de redes Sarah Chen. 'Los usuarios a menudo dejan estos dispositivos funcionando durante años sin darse cuenta de que se han convertido en riesgos de seguridad.'

Explotación Activa e Impacto Práctico

Los servicios de monitoreo de seguridad detectaron los primeros intentos de explotación a finales de noviembre de 2025, con ataques que continúan a principios de 2026. La vulnerabilidad permite el secuestro de DNS (DNS hijacking), similar a campañas anteriores a gran escala como GhostDNS y DNSChanger. Los atacantes pueden redirigir a los usuarios a sitios web maliciosos, interceptar credenciales de inicio de sesión, instalar ransomware o reclutar dispositivos para botnets.

'Estamos viendo que esta vulnerabilidad se utiliza para el robo de credenciales y la interceptación de tráfico,' informa el analista de inteligencia de amenazas David Miller. 'El hecho de que no se requiera autenticación la hace particularmente peligrosa para usuarios domésticos y pequeñas empresas.'

Recomendaciones Inmediatas para los Usuarios

Los expertos en seguridad aconsejan unánimemente reemplazar los routers afectados de inmediato. Dado que no hay actualizaciones de firmware disponibles, seguir utilizando estos dispositivos conlleva riesgos de seguridad significativos. Los usuarios deben:

1. Verificar si poseen alguno de los modelos D-Link afectados.
2. Reemplazar los routers obsoletos por dispositivos modernos y con soporte.
3. Asegurarse de que los nuevos routers reciban actualizaciones de seguridad regularmente.
4. Utilizar contraseñas fuertes y únicas para la administración del router.
5. Deshabilitar la administración remota cuando no sea necesaria.

'Esta situación subraya la importancia de actualizar regularmente la infraestructura de red,' concluye la consultora de ciberseguridad Elena Rodríguez. 'Lo que hoy parece una medida de ahorro de costes, mañana puede convertirse en un importante incidente de seguridad.'

Este incidente sirve como un claro recordatorio de los riesgos de la tecnología obsoleta en un mundo cada vez más conectado, donde el hardware antiguo puede convertirse en puertas de entrada para ciberataques avanzados.