El nuevo y peligroso malware que está secuestrando miles de routers y que es casi imposible de eliminar: así funciona KadNap

El router suele ser uno de los dispositivos más olvidados de casa. Se instala, se conecta a Internet y rara vez se vuelve a revisar. 

Sin embargo, investigadores de ciberseguridad han identificado una nueva amenaza que vuelve a poner este aparato en el centro del problema: un malware llamado KadNap que está infectando miles de routers y utilizándolos como infraestructura para actividades delictivas en la red.

El hallazgo lo ha realizado el equipo de inteligencia de amenazas Black Lotus Labs, que ha detectado una botnet formada por más de 14.000 dispositivos comprometidos. La mayoría de los equipos afectados son routers, especialmente algunos modelos de la marca Asus, aunque también se han observado otros dispositivos de red.

te interesa

Operación contra el foro de datos robados LeakBase en 14 países: robo de cuentas, fraudes o accesos ilícitos a sistemas informáticos

A diferencia de otros tipos de malware diseñados para robar datos personales o bloquear ordenadores, KadNap tiene un objetivo distinto: convertir los routers infectados en nodos de una red proxy utilizada por ciberdelincuentes. En la práctica, esto significa que los atacantes pueden redirigir su tráfico a través de esos dispositivos comprometidos para ocultar su identidad mientras realizan actividades maliciosas en Internet.

Este tipo de infraestructuras se utilizan habitualmente para lanzar ataques informáticos, realizar campañas de fraude o esconder el origen real de conexiones sospechosas. Desde fuera, el tráfico parece proceder de la conexión doméstica del usuario cuyo router ha sido comprometido.

COMPLICADO ACABAR CON EL MALWARE

Uno de los elementos que más preocupa a los investigadores es la arquitectura técnica del malware. KadNap utiliza una red peer-to-peer basada en el protocolo Kademlia DHT, un sistema distribuido que permite a los dispositivos infectados comunicarse entre sí sin depender de un único servidor central. Esto complica enormemente los intentos de desmantelar la red, ya que eliminar un nodo no implica necesariamente interrumpir el funcionamiento del resto.

Según el análisis de los expertos, la botnet comenzó a expandirse en agosto de 2025 y desde entonces ha mantenido una media de aproximadamente 14.000 dispositivos activos cada día. La mayor parte de los equipos infectados se encuentran en Estados Unidos, aunque también se han identificado casos en otras regiones del mundo.

te interesa

La nueva estafa del bizum se aprovecha de tu buena fe: "si devuelves el dinero recibido ya no lo vas a poder recuperar"

Los investigadores también han vinculado esta infraestructura con un servicio de proxies conocido como Doppelgänger, que estaría orientado a facilitar el uso de conexiones comprometidas para ocultar el origen de actividades ilícitas.

Para el usuario doméstico, el mayor problema es que un router infectado puede pasar desapercibido durante mucho tiempo. En muchos casos no provoca fallos visibles en la conexión ni síntomas evidentes de compromiso. Sin embargo, desde el punto de vista de la seguridad, el riesgo es considerable.

El router es el punto central de la red doméstica. A través de él se conectan ordenadores, teléfonos móviles, televisores inteligentes, cámaras de seguridad o dispositivos domóticos. Si ese dispositivo queda comprometido, potencialmente se abre una puerta de acceso a todo el ecosistema digital del hogar.

LA RECOMENDACIÓN CLAVE: MANTENER EL ROUTER ACTUALIZADO

Por este motivo, los especialistas en ciberseguridad insisten en que los routers deben tratarse como cualquier otro dispositivo crítico. Mantenerlos actualizados y revisar su configuración es una medida básica de protección.

Entre las recomendaciones habituales se encuentran actualizar el firmware del router cuando el fabricante publica nuevas versiones, cambiar las contraseñas de administrador que vienen por defecto y desactivar funciones de acceso remoto que no sean necesarias.

También se aconseja revisar periódicamente la configuración del dispositivo y, en caso de sospecha de compromiso, realizar un restablecimiento completo a los valores de fábrica antes de volver a configurarlo.

El caso de KadNap vuelve a recordar que los ciberdelincuentes buscan cada vez más dispositivos poco vigilados para construir redes clandestinas difíciles de rastrear. Y en ese escenario, el router doméstico se ha convertido en una de las piezas más valiosas para quienes quieren ocultar sus actividades en Internet.