← Alertas
Malware Medio En monitoreo

DD-WRT: una falla sin parche convierte tu router, en herramienta de ataque sin que lo sepas

Investigadores de Fortinet detectaron C0XMO, un malware activo que explota una vulnerabilidad conocida en DD-WRT — el software alternativo que muchos usuarios instalan en sus routers — para convertirlos en parte de una red de ataque. No requiere contraseña para entrar y puede infectar casi cualquier tipo de router o dispositivo conectado a internet.

2026-06-07 · BleepingComputer

Qué ocurrió

Investigadores de la empresa de seguridad Fortinet descubrieron C0XMO, una variante nueva de un malware llamado Gafgyt. El malware explota una falla conocida en DD-WRT — un software alternativo que usuarios avanzados instalan en routers domésticos y de oficina para tener más control sobre su red.

La falla (registrada como CVE-2021-27137 desde 2021) permite que un atacante tome control del router sin necesitar contraseña. Una vez dentro, el dispositivo se convierte en parte de una red coordinada capaz de saturar servidores o servicios en internet con tráfico falso.

Lo que distingue a C0XMO de botnets similares es su diseño modular: puede adaptarse a casi cualquier tipo de hardware — routers, grabadoras de video, cámaras, dispositivos Android — y sus operadores pueden actualizar las técnicas de ataque sin necesidad de infectar de nuevo los dispositivos ya comprometidos. También elimina activamente cualquier otro malware que encuentre en el dispositivo, asegurando control exclusivo.

Quién está expuesto

Cualquier persona u organización que tenga un router con el firmware DD-WRT instalado. DD-WRT no viene de fábrica: es un software que se instala voluntariamente para obtener funciones avanzadas. Es común entre usuarios técnicos y en redes de oficinas pequeñas y medianas.

El riesgo es mayor si el panel de administración del router es accesible desde internet, o si las contraseñas de administración son débiles o las que vienen de fábrica. El botnet también se propaga buscando activamente otros dispositivos en la red con contraseñas débiles en los protocolos de administración remota.

A considerar

Impacto potencial

Un router infectado opera con normalidad: la conexión funciona, el usuario no nota nada distinto. En paralelo, el dispositivo recibe instrucciones para participar en ataques de saturación contra terceros — hospitales, empresas, infraestructura pública. La dirección IP del dueño queda registrada en esos ataques.

C0XMO soporta 19 métodos de ataque distintos. Sus operadores los activan de forma remota, en cualquier momento, sobre todos los dispositivos que hayan logrado reclutar.

Leer fuente original →