Security

Secuestro de DNS en routers SOHO: alerta de Microsoft

3 min de lectura

Resumen

Microsoft Threat Intelligence afirma que Forest Blizzard ha comprometido routers domésticos y de pequeñas oficinas vulnerables para secuestrar tráfico DNS y, en algunos casos, habilitar ataques adversary-in-the-middle contra conexiones objetivo. La campaña es relevante para los equipos de TI porque los dispositivos SOHO no administrados usados por empleados remotos e híbridos pueden exponer el acceso a la nube y datos sensibles incluso cuando los entornos corporativos siguen siendo seguros.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft ha revelado una campaña a gran escala en la que Forest Blizzard, un actor de amenazas vinculado a la inteligencia militar rusa, comprometió routers SOHO vulnerables y cambió su configuración DNS. Para las organizaciones con empleados remotos e híbridos, esto es un recordatorio crítico de que los equipos de red domésticos y de pequeñas oficinas no administrados pueden convertirse en un punto ciego que expone el acceso a Microsoft 365 y otro tráfico sensible.

Qué hay de nuevo

Según Microsoft Threat Intelligence, el actor ha estado activo al menos desde agosto de 2025 y ha utilizado dispositivos perimetrales comprometidos para crear infraestructura DNS maliciosa a gran escala.

Hallazgos clave

  • Forest Blizzard modificó configuraciones de routers para dirigir los dispositivos a resolutores DNS controlados por el actor.
  • Microsoft identificó más de 200 organizaciones y 5.000 dispositivos de consumo afectados por la infraestructura DNS maliciosa.
  • La campaña permitió la recopilación pasiva de DNS y reconocimiento en redes objetivo.
  • En un subconjunto de casos, el actor utilizó esta posición para facilitar ataques Transport Layer Security (TLS) adversary-in-the-middle (AiTM).
  • Microsoft observó actividades posteriores dirigidas a dominios de Outlook on the web y actividad AiTM separada contra servidores gubernamentales en África.

Por qué importa para los administradores de TI

La conclusión más importante es que los controles de seguridad empresariales no protegen por completo el tráfico si el router ascendente de un usuario está comprometido. Un router doméstico o de pequeña oficina puede redirigir silenciosamente consultas DNS, dando a un atacante visibilidad sobre los dominios solicitados y, en escenarios seleccionados, la oportunidad de falsificar respuestas e intentar interceptar tráfico.

Para los clientes de Microsoft 365, esto es especialmente relevante cuando los usuarios acceden a Outlook on the web u otros servicios en la nube desde redes no administradas. Aunque los propios servicios de Microsoft no estén comprometidos, los usuarios aún pueden quedar expuestos si ignoran advertencias de certificados TLS no válidos o si la actividad DNS sospechosa pasa desapercibida.

Acciones recomendadas

Microsoft recomienda varias medidas de mitigación inmediatas:

  • Revisar los riesgos asociados al equipo de red doméstico y de pequeñas oficinas de los usuarios remotos.
  • Aplicar resolución DNS de confianza cuando sea posible, incluidos controles Zero Trust DNS (ZTDNS) en endpoints Windows.
  • Habilitar network protection y web protection en Microsoft Defender for Endpoint.
  • Bloquear dominios maliciosos conocidos y conservar registros DNS detallados para monitoreo e investigación.
  • Auditar configuraciones de routers y dispositivos perimetrales, especialmente ajustes de DNS y DHCP.
  • Asegurarse de que los dispositivos SOHO vulnerables estén actualizados, configurados de forma segura o sustituidos si ya no tienen soporte.
  • Capacitar a los usuarios para que no omitan advertencias de certificados TLS.

Conclusión

Esta campaña muestra cómo los atacantes pueden explotar dispositivos perimetrales débilmente administrados para obtener visibilidad sobre objetivos empresariales de mayor valor. Los equipos de seguridad deben ampliar su modelo de amenazas más allá de la infraestructura corporativa y considerar el equipo de red de la oficina en casa como parte de las estrategias de acceso remoto y protección de Microsoft 365.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Threat Intelligence
DNS hijackingSOHO routersMicrosoft DefenderAiTMForest Blizzard

Artículos relacionados

Security

Storm-1175 y Medusa ransomware: activos web en riesgo

Microsoft Threat Intelligence advierte que Storm-1175 está explotando rápidamente sistemas vulnerables expuestos a internet para desplegar Medusa ransomware, a veces en solo 24 horas desde el acceso inicial. El enfoque del grupo en fallas recientemente divulgadas, web shells, herramientas RMM y movimiento lateral rápido hace que la velocidad de parcheo, la gestión de la exposición y la detección posterior al compromiso sean fundamentales para los defensores.

Security

Phishing con device code por AI: campaña escala

Microsoft Defender Security Research detalló una campaña de phishing a gran escala que abusa del flujo OAuth de device code mediante señuelos generados por AI, generación dinámica de códigos e infraestructura backend automatizada. La campaña eleva el riesgo para las organizaciones porque mejora las tasas de éxito de los atacantes, elude patrones de detección tradicionales y permite el robo de tokens, la persistencia mediante reglas de bandeja de entrada y el reconocimiento con Microsoft Graph.

Security

Ciberataques con AI aceleran toda la cadena de ataque

Microsoft advierte que los actores de amenazas ya están incorporando AI en todo el ciclo de vida del ciberataque, desde el reconocimiento y el phishing hasta el desarrollo de malware y las operaciones posteriores al compromiso. Para los defensores, esto implica ataques más rápidos y precisos, mayores tasas de éxito en phishing y una necesidad creciente de reforzar la identidad, las protecciones de MFA y la visibilidad sobre superficies de ataque impulsadas por AI.

Security

Webshells PHP con cookies en Linux: evasión

Microsoft advierte que actores de amenazas están usando cookies HTTP para controlar webshells PHP en entornos de hosting Linux, lo que ayuda a que el código malicioso permanezca inactivo salvo que existan valores de cookie específicos. La técnica reduce la visibilidad en registros rutinarios, facilita la persistencia mediante cron jobs y resalta la necesidad de una supervisión más sólida, protección web y detección en endpoints en cargas de trabajo Linux alojadas.

Security

Compromiso de Axios npm: guía de mitigación

Microsoft advirtió que las versiones maliciosas de Axios npm 1.14.1 y 0.30.4 se usaron en un ataque a la cadena de suministro atribuido a Sapphire Sleet. Las organizaciones que usan los paquetes afectados deben rotar secretos de inmediato, volver a versiones seguras y revisar los endpoints de desarrollo y sistemas CI/CD en busca de compromiso.

Security

Preparación de seguridad de infraestructuras críticas 2026

Microsoft afirma que el modelo de amenazas para las infraestructuras críticas ha pasado de ataques oportunistas a accesos persistentes, impulsados por la identidad y diseñados para futuras interrupciones. Para los líderes de TI y seguridad, el mensaje es claro: reducir la exposición, reforzar la identidad y validar ahora la preparación operativa, mientras aumentan las regulaciones y la actividad de los estados nación.