Zero-days de máxima severidad en routers Acer Wave 7 sin parche disponible
Acer confirmó dos vulnerabilidades de día cero con la calificación de severidad máxima en sus routers mesh Wave 7. No hay parche disponible a la fecha de publicación.
Contexto
El 3 de junio de 2026, BleepingComputer reportó que Acer está trabajando en corregir dos vulnerabilidades de día cero —fallas sin parche disponible— en sus routers mesh Wave 7. Ambas recibieron la calificación de severidad máxima (CVSS 10/10), lo que indica que pueden ser explotadas remotamente, sin autenticación y con impacto completo en el dispositivo.
Los routers mesh —dispositivos que crean redes WiFi de cobertura extendida en hogares y oficinas pequeñas— son puntos de entrada a toda la red. Un router comprometido puede interceptar todo el tráfico de internet de la red, redirigir conexiones, inyectar contenido malicioso en páginas que se visitan o servir como punto de control para ataques a otros dispositivos conectados.
La marca Acer tiene presencia en México en segmento de consumidor y pequeñas empresas. Los routers Wave 7 son productos recientes dirigidos a ese mercado.
Impacto potencial
Para personas
Si tienes un router Acer Wave 7 en casa u oficina, cualquier persona en la misma red o con acceso remoto al router puede comprometer toda tu conectividad. El atacante puede ver todo lo que navegas, interceptar sesiones sin cifrado, bloquear tu acceso a internet o usar tu red para actividades ilegales.
Para organizaciones
Una oficina o sucursal que usa routers Wave 7 como infraestructura de red tiene su perímetro expuesto. El compromiso del router puede dar acceso a:
- Todo el tráfico de red de la oficina, incluyendo comunicaciones internas no cifradas.
- Dispositivos conectados a la misma red —impresoras, sistemas de punto de venta, equipos de empleados.
- Tunneling hacia la red corporativa si hay VPN o acceso remoto configurado en el router.
Perspectiva GRC
Esta situación evidencia un riesgo de inventario: muchas organizaciones no tienen registrado qué marca y modelo de router usan en cada ubicación, y no tienen un proceso para recibir alertas sobre vulnerabilidades en equipos de red.
El riesgo adicional con vulnerabilidades sin parche es la ausencia de acción disponible inmediata. No hay una actualización que aplicar. Las opciones son mitigación temporal o sustitución del equipo —decisiones que requieren presupuesto y aprobación, no solo configuración técnica.
Recomendaciones
Para personas
- Verifica si tu router es un Acer Wave 7. El modelo generalmente está en la etiqueta inferior del dispositivo.
- Si lo tienes, conecta tu router a la red eléctrica mediante cable y no expongas el panel de administración web a internet —desactiva la gestión remota si está activa.
- Mantente al pendiente del sitio de soporte de Acer para la publicación del parche y aplícalo en cuanto esté disponible.
Para organizaciones
La pregunta que debes poder responder hoy: ¿cuántos y qué equipos de red —routers, switches, puntos de acceso— opera tu organización, y tienes un proceso para enterarte cuando tienen vulnerabilidades críticas?
- Si usas routers Acer Wave 7 en alguna ubicación, considera reemplazarlos temporalmente con equipos de otra marca hasta que el parche esté disponible, especialmente si esa red da acceso a sistemas críticos.
- Si aún no tienes un inventario de equipos de red, este incidente es la razón para construirlo: modelo, versión de firmware y dueño técnico de cada equipo.
- Suscríbete a los boletines de seguridad de los fabricantes de tus equipos de red principales. Muchos ofrecen alertas por correo de forma gratuita.
Los routers son invisibles cuando funcionan bien. Se vuelven críticos cuando fallan o son comprometidos. Un inventario de equipos de red no es un ejercicio técnico: es el paso previo a poder tomar decisiones informadas cuando un fabricante anuncia que su producto tiene una falla sin solución disponible.