La recién destapada Operación WrtHug ha puesto al descubierto una de las intrusiones más masivas y silenciosas registradas en dispositivos domésticos. Más de 50.000 routers ASUS de particulares—de distintos modelos, años y firmwares—han sido empleados como nodos de una red global destinada a espionaje, ocultación de tráfico y lanzamiento de ataques coordinados. Todo ello sin que los usuarios afectados percibieran el más mínimo síntoma anómalo.
El descubrimiento se produjo gracias a un detalle tan llamativo como improbable: un certificado TLS autofirmado, idéntico en miles de routers, con una validez imposible en un equipo legítimo. Ese patrón homogéneo permitió unir las piezas y revelar la magnitud de un ataque que llevaba años operando en segundo plano.
El origen de la intrusión se encuentra en el servicio AiCloud, una función de ASUS diseñada para el acceso remoto a archivos personales. En modelos antiguos o abandonados por el fabricante, este servicio quedó expuesto a fallos conocidos desde hace años. Vulnerabilidades que permiten ejecutar comandos, saltarse la autenticación o manipular el firmware han sido la puerta de entrada perfecta para tomar control persistente del router.
Los dispositivos comprometidos aparecen principalmente en regiones estratégicas: Taiwán concentra hasta el 50% de los casos, seguida por el sudeste asiático, Rusia, Europa y Estados Unidos. Sin embargo, no se ha detectado ni un solo router afectado dentro de China continental, un dato que refuerza las sospechas sobre la naturaleza y dirección operativa de la campaña.
Cómo saber si tu router ha sido parte de WrtHug
El primer paso es identificar si el modelo sigue recibiendo soporte. La mayoría de los afectados estaban fuera del ciclo de actualizaciones, lo que los convierte en blanco ideal. Revisar el firmware es esencial; si no existe versión reciente, la única opción plenamente segura es sustituir el dispositivo por uno nuevo.
El segundo paso consiste en verificar el certificado HTTPS del router. La operación se caracteriza por instalar un certificado autofirmado genérico y válido durante cien años. Comprobarlo desde el navegador es suficiente para detectar manipulación sin herramientas adicionales.
También es imprescindible desactivar funciones expuestas como AiCloud, SSH, UPnP o acceso remoto, además de establecer una contraseña fuerte y vigilar el tráfico del router. Conexiones salientes inesperadas, lentitud o actividad inusual pueden ser indicios claros de compromiso.
Modelos identificados en la operación
Entre los routers ASUS usados en la Operación WrtHug destacan:
- ASUS 4G-AC55U
- ASUS 4G-AC860U
- ASUS DSL-AC68U
- ASUS GT-AC5300
- ASUS GT-AX11000
- ASUS RT-AC1200HP
- ASUS RT-AC1300GPLUS
- ASUS RT-AC1300UHP
Para quienes deseen confirmar el estado del certificado HTTPS o regenerarlo, es posible hacerlo desde el propio panel de administración del router, descargando el paquete cert.tar y revisando su contenido. Tras ello, puede instalarse como certificado de confianza en el sistema operativo y activar únicamente el acceso seguro mediante HTTPS o DDNS con Let’s Encrypt, si el modelo lo permite.
La Operación WrtHug demuestra que un router desactualizado no es solo un riesgo menor: es la puerta para integrarse, sin saberlo, en una de las redes encubiertas más amplias y sofisticadas de los últimos años. Actualizar, revisar y, cuando no haya más remedio, sustituir el equipo, ya no es una recomendación: es una necesidad.
Gracias