Cómo saber si tu router está infectado y qué hacer para limpiarlo

iPhone World » General » Cómo saber si tu router está infectado y qué hacer para limpiarlo

Puede que tengas el router tirado en una esquina acumulando polvo y solo te acuerdes de él cuando la conexión va mal. Pero ese cacharro es, en realidad, el centro neurálgico de toda tu red doméstica. Para protegerla, consulta consejos esenciales de ciberseguridad. Si un ciberdelincuente consigue colarse ahí, no solo se queda con tu Wi‑Fi: puede ver, manipular y redirigir prácticamente todo lo que haces en Internet.

Aunque muchos usuarios ni se lo plantean, un router puede infectarse con virus, troyanos y otros tipos de malware, igual que un ordenador o un móvil. Y lo peor es que, al no revisarlo nunca, las infecciones pueden permanecer escondidas durante meses. Vamos a ver con detalle cómo se infectan, qué síntomas dan, cómo saber si tu router está comprometido y qué hacer para limpiarlo y blindarlo.

¿De verdad un router puede tener virus o malware?

Por muy raro que suene, cualquier router Wi‑Fi o módem con sistema operativo es susceptible de sufrir ataques. La mayoría utilizan variantes de Linux u otros sistemas embebidos, y eso significa que también pueden ejecutar código malicioso diseñado específicamente para ellos.

Los investigadores en seguridad llevan años detectando familias de malware creadas solo para routers: registran el tráfico, redirigen tus visitas a webs falsas, convierten tu equipo en parte de una botnet o lo dejan totalmente inservible. Y, como casi nadie se preocupa de actualizar ni proteger el router, son un objetivo muy goloso.

Además, un router atacado no se queda ahí: la infección puede extenderse a todos los dispositivos conectados (ordenadores, móviles, televisores, cámaras IP, domótica…), o al revés, un equipo infectado puede acabar “contagiando” al router si este está mal protegido.

En el caso de los módems puros ocurre algo similar: son un punto de entrada único entre tu red local y el proveedor de Internet y también ejecutan firmware. Aunque suelen ser algo más robustos que un router Wi‑Fi barato, cada vez integran más funciones (router, Wi‑Fi, telefonía VoIP, etc.), lo que abre más puertas para atacarlos.

Formas reales en las que un router se infecta

Para entender cómo saber si tu router está infectado, antes conviene ver por dónde suelen entrar los atacantes. La mayoría de campañas que afectan a routers se apoyan en dos grandes debilidades: credenciales débiles y firmware desactualizado.

Por un lado, muchísima gente deja el router con el usuario y la contraseña por defecto (el típico “admin / admin” o “1234”), o pone claves fáciles de adivinar. Eso permite ataques de fuerza bruta como los que utilizaba el troyano Switcher: primero infectaba un móvil Android y, desde ahí, probaba listas enormes de combinaciones de usuario y contraseña hasta entrar en el panel de administración del router.

Por otro lado, las vulnerabilidades del firmware (fallos no corregidos en el software interno del router) permiten ataques sin necesidad de saber la contraseña. Un gusano como VPNFilter se aprovechaba justo de ese tipo de agujeros para colarse directamente en cientos de miles de routers de distintas marcas, sin que el usuario hiciera nada.

No menos peligrosas son las infecciones que llegan desde los propios dispositivos. Si tu ordenador, móvil o tablet se infecta al entrar en una web maliciosa, abrir un adjunto o caer en un ataque de phishing, ese malware puede intentar modificar la configuración del router desde dentro de tu red aprovechando que, desde ahí, tiene vía directa y muchas veces sin doble factor de autenticación.

En el caso de las redes públicas o de empresa, un dispositivo comprometido que se conecte a ese Wi‑Fi puede terminar alterando la configuración del router de la oficina o del local, con el riesgo añadido de exponer datos de muchos usuarios a la vez.

Técnicas típicas de ataque contra routers

Una vez el atacante ha conseguido entrar, suele aprovecharse de varias técnicas bastante repetidas. Entenderlas te ayuda a interpretar síntomas raros en tu navegación y a sospechar que quizás el problema no está en tu ordenador, sino en el router.

Secuestro de la configuración DNS

El DNS es el sistema que traduce nombres de dominio a direcciones IP. Si un malware modifica en el router los servidores DNS por otros controlados por el atacante, cualquier web que visites puede redirigirte a un sitio falso aunque en la barra del navegador veas un dominio aparentemente correcto.

Eso permite montar páginas de phishing casi perfectas para robar credenciales bancarias, de correo o de redes sociales, o inyectar publicidad y scripts maliciosos en webs perfectamente legítimas sin que tú lo notes a primera vista.

Ataques de supresión o degradación de SSL

Muchos ataques a routers se centran en romper o debilitar la capa segura de las conexiones HTTPS. Al manipular el tráfico desde el propio router, el malware puede forzar una conexión insegura (HTTP) donde debería haber HTTPS, o suprimir certificados SSL válidos.

El resultado es que pierdes el candado de seguridad en la barra de direcciones o ves avisos extraños del navegador. En los peores escenarios, el atacante puede incluso hacer de intermediario (man‑in‑the‑middle), viendo y modificando lo que envías y recibes aunque tú creas estar en una página segura.

Phishing y troyanos que “saltan” al router

Los correos de suplantación, los mensajes en redes sociales y las páginas que imitan a servicios conocidos siguen siendo una de las grandes puertas de entrada del malware. Tras hacer clic en un enlace trampa o descargar un archivo fraudulento, el virus se instala en tu equipo y, desde ahí, intenta localizar y atacar al router.

En muchas campañas, el router no es el primer objetivo, sino el siguiente paso lógico: si el atacante controla el router, controla todo el tráfico de la red. Eso le permite replicarse a otros equipos, robar más datos o convertir tu conexión en una pieza más de una red de bots para futuros ataques DDoS.

Botnets de routers: Mirai, Mozi, Chalubo y compañía

En los últimos años hemos visto casos sonados de malware que convierte routers, cámaras IP y otros cacharros conectados en auténticas “granjas” de dispositivos zombis. Uno de los más famosos fue Mirai, que en 2016 llegó a controlar más de 100.000 routers y dispositivos IoT para lanzar ataques masivos de denegación de servicio.

Después apareció Mozi, que entre 2020 y 2022 infectó miles de routers para realizar ataques DDoS, y más recientemente Chalubo, que dejó fuera de combate a más de 600.000 routers de un operador estadounidense en apenas unos días, obligando a sustituir físicamente todos esos equipos.

En todos estos casos, el usuario en casa quizá solo notaba que “Internet iba fatal” o que el router se calentaba demasiado, pero en realidad su equipo estaba participando sin saberlo en ataques a terceros.

Síntomas que indican que tu router puede estar infectado

Detectar un router comprometido no siempre es sencillo porque muchos ataques intentan ser discretos. Aun así, hay una serie de señales que, si se repiten, deberían ponerte en alerta.

Lo primero y más visible suele ser una conexión a Internet lenta o inestable sin motivo aparente. Todos hemos tenido días malos con el Wi‑Fi, pero si la bajada de velocidad es constante, se corta la conexión o va a trompicones aunque no haya muchos dispositivos conectados, toca investigar.

Otro indicio claro es notar redirecciones raras en el navegador. Escribes la dirección de una web de confianza y acabas en otra distinta, salta una página de publicidad agresiva o aterrizas en una tienda o servicio que no tiene nada que ver. Eso suele ser síntoma de manipulación de DNS o de inyección de contenido.

También conviene fijarse en signos más sutiles: páginas habituales que de repente se ven distintas, formularios de login que muestran errores extraños o que el candado de seguridad desaparece donde antes estaba siempre. Si además empiezan a colarse barras de herramientas, extensiones o programas que tú no has instalado, mal asunto.

Los dispositivos de tu red pueden dar pistas adicionales: bloqueos frecuentes de aplicaciones, cuelgues del sistema, aparentes “fallos” del disco duro o mensajes de antivirus falsos que intentan venderte una solución milagrosa. Aunque muchas de estas cosas pueden deberse a otros problemas, cuando se juntan varias, hay que desconfiar.

Por último, no te olvides del propio router: luces que parpadean sin parar incluso cuando nadie está usando Internet, reinicios espontáneos, calentamiento excesivo o imposibilidad de acceder al panel de administración o instalar actualizaciones son pistas de que algo podría estar tocando su configuración desde dentro.

Cómo comprobar paso a paso si tu router está comprometido

Cuando ya tienes la mosca detrás de la oreja, lo siguiente es hacer comprobaciones algo más técnicas. No hace falta ser ingeniero de redes: con un poco de paciencia puedes revisar los puntos clave y descartar (o confirmar) una infección.

1. Analiza la red con tu antivirus

La mayoría de suites de seguridad modernas incluyen alguna función tipo “Inspector de red”, “Network Scanner” o comprobador de routers. Sirve para analizar la Wi‑Fi en busca de vulnerabilidades y comportamientos sospechosos.

Desde tu ordenador, abre el antivirus y busca el apartado de protección de red. Muchos productos (como los de Avast, AVG, CyberGhost Security y otros) permiten lanzar un escaneo rápido de la Wi‑Fi, que detecta dispositivos conectados, puertos abiertos peligrosos, cifrado débil, contraseñas por defecto y configuraciones de DNS extrañas.

Si el escaneo marca tu router como potencialmente vulnerable o identifica cambios raros, es momento de seguir con el resto de comprobaciones y, si hace falta, pasar a la limpieza.

2. Entra en la configuración del router

Para ver qué está pasando de verdad tendrás que acceder al panel de administración del router desde el navegador. Normalmente se hace tecleando una de estas direcciones en la barra:

• 192.168.1.1
• 192.168.0.1
• 192.168.100.1

Si ninguna funciona, puedes mirar la pegatina de la parte inferior del router, donde suele venir indicada la IP de acceso, el usuario y la contraseña por defecto, o buscar en Internet “dirección de inicio de sesión router + marca/modelo”.

Una vez dentro, echa un vistazo a las secciones de dispositivos conectados, configuración de Internet, DNS, reenvío de puertos y acceso remoto. Cambios que tú no recuerdas haber hecho, servidores DNS extraños, reglas de puertos que no tienen sentido o la administración remota activada sin motivo son banderas rojas de manual.

3. Verifica tu configuración DNS

Dentro del menú del router, localiza el bloque dedicado a la conexión con tu proveedor (suele llamarse “Internet”, “WAN” o similar) y revisa qué aparece en el apartado de servidores DNS. Lo habitual es que esté en modo automático, tomando los DNS que le da tu operador.

Si ves direcciones que no reconoces, o alguien ha dejado el DNS fijado manualmente sin que tú lo supieras, puede que el router haya sido manipulado para redirigir todo tu tráfico. Puedes volver a ponerlo en modo automático o establecer manualmente DNS públicos fiables (por ejemplo, los de Google o Cloudflare), pero si hay malware dentro del router, estos cambios podrían no durar mucho.

4. Revisa dispositivos conectados y reglas sospechosas

En el listado de equipos conectados deberías ver solo dispositivos que reconozcas: tus móviles, ordenadores, tablets, consolas, tele inteligente, etc. Si aparece algo con nombre o dirección MAC que no te suena, podría ser un vecino gorronando Wi‑Fi… o un equipo comprometido que el atacante está utilizando.

También merece la pena revisar el apartado de reenvío de puertos, DMZ y UPnP. Rules que destaquen por abrir puertos muy utilizados por malware, o una DMZ apuntando a un dispositivo concreto sin motivo, son un riesgo. Y si la administración remota del router está encendida y tú jamás la has puesto así, mejor desconfiar.

Cómo eliminar malware de un router infectado

Si después de todas estas comprobaciones sigues pensando que el router está tocado, hay varios niveles de actuación. La clave es proceder con orden: salvar tus datos, limpiar el aparato y reforzar la seguridad para que no vuelva a pasar.

1. Haz copia de seguridad de tus equipos

Aunque el restablecimiento del router no borra nada de tus ordenadores o móviles, siempre es buena idea aprovechar para hacer una copia de tus archivos más importantes en un disco externo o en la nube. Si también tienes que limpiar equipos porque han sido infectados desde el router, lo agradecerás.

2. Restablece el router a valores de fábrica

La forma más efectiva y rápida de “exorcizar” la mayoría de infecciones es hacer un reset completo de fábrica. Todos los routers incluyen un pequeño botón de “Reset” que suele estar hundido: tendrás que pulsarlo durante unos 10-30 segundos con un clip, alfiler o palillo hasta que las luces se apaguen y vuelvan a encenderse.

Tras ese proceso, el equipo vuelve al estado en el que salió de la caja: se borra la configuración, las contraseñas personalizadas y las reglas de puertos o DNS que pueda haber dejado el malware. En ataques como VPNFilter, esta es precisamente la solución recomendada por los expertos.

Ojo: algunos troyanos que atacan routers en realidad residen en otros dispositivos (por ejemplo, en móviles Android) y solo cambian la configuración. Si no limpias también esos equipos, es posible que al volver a conectarlos vuelvan a alterar el router recién reseteado.

3. Actualiza el firmware a la última versión

Después de un reset de fábrica, es el momento perfecto para instalar el firmware más reciente disponible. Muchas infecciones se aprovechan precisamente de fallos viejos que los fabricantes ya han parcheado, pero que nadie se molesta en actualizar.

Normalmente tendrás que ir a la web del fabricante, descargar el archivo de firmware para tu modelo exacto y, desde el panel del router, buscar la sección de “Actualización de firmware” o “Software”, cargar el archivo y esperar a que el proceso termine sin tocar nada ni desenchufar el aparato.

Algunos routers modernos se actualizan solos, pero si el tuyo no lo hace, conviene revisar esta opción cada cierto tiempo y, si está disponible, activar las actualizaciones automáticas.

4. Cambia todas las contraseñas y refuerza el acceso

Con el router limpio y actualizado, toca cerrar las puertas por las que entró el ataque. Lo mínimo es cambiar el usuario y la contraseña de administración del router, sustituyendo los valores por defecto por una frase larga, única y difícil de adivinar. Nada de “123456”, fechas de cumpleaños ni cosas que se puedan relacionar contigo.

Lo siguiente es renovar la contraseña de la Wi‑Fi y asegurarte de que el tipo de cifrado es moderno (WPA2‑AES o WPA3, nunca WEP ni WPA antiguo). Si tu router lo permite, puedes separar la red principal de una red de invitados para aparatos menos fiables o para visitas.

Aprovecha también para desactivar la administración remota si no la necesitas, deshabilitar WPS por PIN (es mucho más fácil de romper que una contraseña larga) y revisar que no queden puertos abiertos absurdos. Cuanto menos superficie de ataque, mejor.

5. Instala y usa un buen antivirus en tus dispositivos

Por último, no olvides que el router es solo una pieza del puzzle de seguridad. Un buen antivirus actualizado en tus ordenadores y móviles detectará troyanos, adware, scareware y demás bichos que intentan utilizar tus equipos como trampolín hacia el router.

Las suites de seguridad más completas, además, incorporan módulos específicos de análisis de red, avisos de Wi‑Fi inseguras, bloqueo de páginas de phishing y detección de conexiones sospechosas. Y algunas operadoras y fabricantes (ASUS AiProtection, TP‑Link HomeShield, Netgear Armor, etc.) integran tecnologías similares directamente en el router para filtrar amenazas antes de que lleguen a tus dispositivos.

Medidas para mantener tu router a salvo a largo plazo

Limpiar una infección está bien, pero lo ideal es que no tengas que volver a pasar por ahí. Con unas cuantas buenas prácticas básicas de seguridad puedes reducir muchísimo las probabilidades de que tu router vuelva a ser un coladero.

La primera, ya lo hemos mencionado, es usar contraseñas robustas, largas y únicas tanto para el panel del router como para la Wi‑Fi. Si te cuesta gestionarlas, un gestor de contraseñas decente hace el trabajo duro por ti y te permite olvidarte de repetir claves.

Mantener el equipo al día es igual de importante: activa las actualizaciones automáticas de firmware siempre que esté disponible, o apunta en tu agenda revisar la web del fabricante cada cierto tiempo. Los routers baratos y antiguos a veces dejan de recibir parches; si es tu caso y llevas años con el mismo modelo, plantéate pedir uno nuevo a tu operador o comprar un router más moderno.

Otra costumbre saludable es consultar periódicamente la lista de dispositivos conectados y los registros de actividad del router (si los tiene). Si un día ves IPs desconocidas conectadas a tu red o notificaciones de intentos de acceso fallidos, mejor investigar antes de que el problema crezca.

Y, por supuesto, no bajes la guardia en el resto de tu comportamiento online: desconfía de correos y mensajes inesperados, no instales software pirata ni aplicaciones de fuentes raras, y mantén actualizado el sistema operativo y los programas de todos tus equipos. La mayoría de infecciones de routers empiezan, al final, por un clic a destiempo.

Cuidar el router puede parecer un engorro, pero en realidad basta con unas cuantas revisiones puntuales y tener las cuatro ideas claras: si vigilas síntomas raros, revisas la configuración de vez en cuando, mantienes el firmware al día, usas contraseñas fuertes y herramientas de seguridad fiables y no dejas activadas funciones que no necesitas, es mucho menos probable que tu red acabe en manos de un atacante sin que te enteres.