La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) incluyó recientemente dos vulnerabilidades de routers TP-Link en su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV). Esto confirma que no son fallos teóricos, sino brechas que ya están siendo aprovechadas en ataques reales.
Los CVE reportados son:
- CVE-2023-50224 (CVSS 6.5): Una vulnerabilidad en el servicio httpd del modelo TL-WR841N que permite a atacantes en la misma red extraer credenciales sin autenticación.
- CVE-2025-9377 (CVSS 8.6): Una falla crítica que permite la inyección de comandos en la página de Control Parental de los modelos Archer C7(EU) V2 y TL-WR841N/ND(MS) V9. Esta vulnerabilidad puede llevar a la ejecución remota de código (RCE).
Impacto real
Se ha confirmado que estas vulnerabilidades están siendo explotadas por la botnet Quad7 (CovertNetwork-1658), que transforma los routers vulnerables en proxies encubiertos.
Estos routers comprometidos se han utilizado para lanzar campañas de password spraying contra cuentas de Microsoft 365, un método de ataque que consiste en probar contraseñas comunes contra muchos usuarios hasta encontrar la correcta.
Además de perder el control del router, el dispositivo puede terminar sirviendo como nodo en campañas de cibercrimen global, lo que expone al dueño del equipo a responsabilidades legales y a una pérdida de privacidad.
Alcance de la amenaza
- Las agencias federales en EE. UU. deben aplicar medidas de mitigación antes del 24 de septiembre de 2025, de acuerdo con la directiva BOD 22-01 de CISA.
- Investigadores también han detectado un posible día cero en el protocolo CWMP (TR-069) que afecta a modelos más recientes como Archer AX10 y AX1500, lo que indica que los ataques podrían escalar a equipos aún soportados.
Esta situación refleja un problema mayor: millones de routers antiguos siguen activos en hogares y pequeñas empresas, representando un eslabón débil en la ciberseguridad global.
Recomendaciones
- Instala los parches de seguridad de inmediato desde el sitio oficial de TP-Link.
- Si tu modelo ha llegado al fin de su vida útil (EoL), la única medida efectiva es sustituirlo por un router moderno y con soporte activo.
- Cierra el panel de administración desde internet y permite el acceso solo desde la red local.
- Usa contraseñas únicas y fuertes para el acceso a tu router.
