Según el informe de Infoblox Threat Intel, los atacantes acceden de forma remota al router y cambian los servidores DNS configurados. Desde ese momento, cualquier dispositivo conectado, como móviles, portátiles o equipos IoT, deja de usar el resolver del proveedor habitual y pasa a consultar uno controlado por terceros .
En lugar de dirigir las consultas al ISP, los routers envían las peticiones a resolvers alojados en servidores de Aeza International. Estos servidores responden con normalidad en dominios populares, pero pueden alterar otras resoluciones. El resultado es un cambio invisible en la navegación, ya que el usuario no percibe que su conexión ha sido intervenida .
Índice de temas
Un sistema que filtra y redirige a las víctimas
Tras la manipulación del DNS, el tráfico pasa por un sistema de distribución, conocido como TDS. Este mecanismo identifica si el usuario procede de un router comprometido y, si cumple ciertos criterios, lo redirige a plataformas de publicidad en línea. Desde allí puede acabar en sitios con malware u otras amenazas .
La compañía advierte de que el control del DNS en el router implica el control de la navegación. Cada solicitud de acceso a una web depende de esa resolución previa. Si esta se altera, también se altera el destino final del usuario .
Actualización y control del DNS
Ante este escenario, Infoblox recomienda actualizar o sustituir los routers antiguos y proteger la configuración DNS. En entornos corporativos, plantea tratar el DNS como infraestructura crítica de seguridad. También insta a implantar controles que detecten conexiones hacia resolvers maliciosos o redes no autorizadas .
El informe subraya que el ataque no requiere interacción directa del usuario. Basta con que el router esté comprometido para que todo el tráfico quede expuesto. La alerta sitúa el foco en un punto clave de la red doméstica y empresarial que, hasta ahora, operaba fuera de la atención habitual.
