Tu router te traiciona sin que lo sepas. Entras a tu banco, escribes la dirección correcta, pero acabas en una web falsa diseñada para robarte las claves. El problema está en la configuración DNS del router, modificada por atacantes que controlan cada sitio que visitas. Miles de usuarios han caído en esta trampa durante febrero de 2026.
El secuestro de DNS explota estos días porque los ciberdelincuentes han intensificado ataques contra routers antiguos desde mediados de febrero. Infoblox Threat Intel documentó el 16 de febrero una campaña activa en casi 40 países: los atacantes acceden al router, cambian la configuración DNS a servidores maliciosos alojados en Aeza International, y desde ahí controlan qué páginas cargas. La redirección ocurre de forma invisible, sin alertas.
Qué hace el DNS y por qué su manipulación es peligrosa
El DNS actúa como traductor de Internet: convierte nombres de dominio (google.com) en direcciones IP que tu dispositivo entiende. Cuando un atacante modifica el DNS del router, cada consulta pasa por sus servidores maliciosos en lugar de los legítimos de tu operadora. Desde ahí deciden a qué sitio te envían realmente, aunque en la barra del navegador veas la dirección correcta.
Los routers comprometidos responden normalmente para sitios conocidos como Google o Facebook. El problema surge con bancos o tiendas online: el DNS malicioso te desvía a réplicas falsas que roban tus credenciales. El usuario no percibe nada extraño porque la URL parece legítima.
Por qué explota ahora: campaña activa desde febrero 2026
Infoblox identificó el 16 de febrero de 2026 una oleada de ataques contra routers obsoletos sin actualizaciones de seguridad. Los atacantes explotan contraseñas débiles que muchos usuarios nunca cambiaron y modifican los DNS a direcciones controladas por ellos.
Los datos revelan el alcance:
- Casi 40 países afectados documentados por Infoblox entre enero y febrero 2026
- Routers antiguos sin soporte son el objetivo principal (modelos descontinuados hace más de 5 años)
- Servidores Aeza International alojan los DNS maliciosos, empresa autorizada por el gobierno de EE.UU. en julio 2025
- Sistema TDS (Traffic Distribution System) redirige selectivamente a usuarios hacia plataformas publicitarias que conducen a malware
| Servidor DNS | Función | Riesgo actual |
|---|---|---|
| DNS del operador (por defecto) | Servicio estándar ISP | Vulnerable si router comprometido |
| DNS malicioso (Aeza) | Controlado por atacantes | Redirige a sitios peligrosos |
| DNS seguro (Cloudflare/Google) | Protección activa | Bloquea redirecciones |
El router distribuye automáticamente su configuración DNS a todos los dispositivos conectados. Un solo router comprometido infecta móviles, ordenadores y tablets sin que ninguno detecte el problema.
Cómo afecta a tu navegación y tus datos
Cada dispositivo conectado usa automáticamente el DNS malicioso. Tu móvil, tu portátil, tu Smart TV confían ciegamente en que el router les da direcciones correctas. Cuando intentas entrar a tu banco, el DNS falso responde con la IP de una réplica diseñada para capturar usuario y contraseña.
El atacante registra cada sitio que intentas visitar, construyendo un perfil completo de tu actividad. Las compras online se convierten en trampas: introduces datos de tarjeta en formularios que parecen legítimos pero envían la información directamente a los ciberdelincuentes.
El DNS modificado puede inyectar malware durante la navegación aparentemente normal. Visitas un blog de recetas y el DNS malicioso te redirige a una versión manipulada que descarga ransomware. Tu antivirus no lo detecta porque la conexión parece venir de un sitio confiable.
Por qué cambiar el DNS corta el problema de raíz
El DNS del router actúa como primer punto de consulta para todos los dispositivos. Cambiarlo por servidores seguros conocidos (Cloudflare, Google, Quad9) anula el control del atacante. Estos proveedores mantienen listas actualizadas de dominios maliciosos y bloquean automáticamente las redirecciones peligrosas.
Cloudflare ofrece 1.1.1.2 y 1.0.0.2 con protección anti-malware incluida, bloqueando dominios conocidos por distribuir amenazas. Google DNS (8.8.8.8 y 8.8.4.4) prioriza velocidad y fiabilidad. Quad9 (9.9.9.9) se especializa en seguridad activa, rechazando consultas a sitios vinculados con phishing.
El procedimiento para entrar en 192.168.1.1 (o 192.168.0.1 según marca) y localizar Configuración LAN o WAN toma menos de 3 minutos. La sección DNS muestra dos campos: primario y secundario. Sustituir las direcciones actuales por las de un proveedor seguro inmediatamente corta la cadena de redirección maliciosa.
