La empresa taiwanesa tranquiliza a los usuarios tras el descubrimiento de una sofisticada campaña de ataques que afecta a miles de routers con una puerta trasera SSH difícil de detectar.
Asus ha emitido múltiples declaraciones oficiales en respuesta a un ataque de botnet altamente publicitado que ha infectado más de 9,000 routers hasta la fecha. El botnet denominado «AyySSHush» ha infectado a sus víctimas a través de una combinación de ataques de fuerza bruta y elusión de autenticación, ocultando su puerta trasera en memoria no volátil para intentar sobrevivir a las actualizaciones y restauraciones de firmware.
El exploit y la respuesta de Asus
En una declaración oficial enviada exclusivamente a Tom’s Hardware, Asus confirmó que las vulnerabilidades pueden evitarse para aquellos que aún no han sido infectados, y solucionarse para los routers que ya han sido comprometidos. Los agentes maliciosos utilizan una falla conocida de inyección de comandos, CVE-2023-39780, para habilitar el acceso SSH en un puerto personalizado (TCP/53282) e insertar una clave pública controlada por el atacante para acceso remoto.
Esta vulnerabilidad ha sido parcheada en la última actualización de firmware de Asus, por lo que la empresa aconseja encarecidamente a todos los usuarios actualizar su firmware inmediatamente. Después de esto, Asus recomienda realizar un restablecimiento de fábrica, seguido de la configuración de una contraseña de administrador robusta.
Para usuarios con routers que han alcanzado el final de su vida útil, o aquellos lo suficientemente experimentados técnicamente para abrir la configuración de su router y deseen evitar un restablecimiento de fábrica, Asus recomienda:
- Deshabilitar todas las funciones de acceso remoto como SSH, DDNS, AiCloud o acceso web desde WAN
- Confirmar que SSH (especialmente el puerto TCP 53282) no esté expuesto a Internet
Descubrimiento y características del ataque
El botnet AyySSHush fue descubierto por primera vez por la firma de seguridad GreyNoise en marzo, haciendo públicos sus hallazgos en mayo a través de alertas generadas por su tecnología de monitoreo AI propietaria llamada Sift. GreyNoise categoriza a los atacantes responsables del botnet como «un adversario bien financiado y altamente capaz», aunque sin hacer acusaciones específicas sobre la identidad de los atacantes.
Una búsqueda en Censys de los routers afectados, que al momento de escribir este artículo supera los 9,500 dispositivos, muestra la magnitud del problema. Sin embargo, hasta la fecha, la actividad del botnet ha sido mínima, con solo 30 solicitudes relacionadas registradas en tres meses.
Medidas preventivas y correctivas
Asus añadió en comentarios específicos que envió notificaciones push a usuarios aplicables alertándolos para actualizar su firmware una vez que el exploit se hizo ampliamente conocido. Los usuarios también tienen recursos disponibles, incluyendo la página de avisos de seguridad de productos de Asus y un artículo actualizado en la base de conocimientos que cubre específicamente este exploit.
La empresa también afirma haber estado trabajando para actualizar el firmware en varios modelos, incluyendo el router RT-AX55, mucho antes de que se publicara el informe de GreyNoise, para proteger contra esta vulnerabilidad conocida. Este es un detalle clave, ya que los reportes de CVE-2023-39780 muestran que Asus había sido informada de la vulnerabilidad antes del reporte más reciente de GreyNoise.
Recomendaciones para usuarios
Cualquier usuario preocupado de routers Asus debe:
- Confirmar que SSH no esté expuesto a Internet
- Revisar los logs del router en busca de fallas de inicio de sesión repetidas o claves SSH desconocidas que indiquen un ataque de fuerza bruta pasado
- Actualizar inmediatamente el firmware a la versión más reciente
- Realizar un restablecimiento de fábrica después de la actualización
- Configurar una contraseña de administrador fuerte
Contexto de seguridad
Dejar routers expuestos al acceso WAN y a Internet abierto es una receta para el desastre, y casi todos los routers infectados por el botnet probablemente operaban bajo condiciones altamente vulnerables e inseguras causadas por los usuarios finales. Aún así, como ocurre con todos los asuntos de seguridad web, es mejor prevenir que lamentar, y asegurar que los routers y otros dispositivos conectados a la web operen con firmware moderno.
Este incidente destaca la importancia crítica de mantener actualizado el firmware de los dispositivos de red y de implementar configuraciones de seguridad adecuadas para prevenir accesos no autorizados. La respuesta rápida de Asus y las medidas correctivas disponibles ofrecen una solución clara para los usuarios afectados, aunque la situación sirve como recordatorio de la constante evolución de las amenazas cibernéticas.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://news.betazeta.dev/2025/06/06/asus-responde-a-la-crisis-de-seguridad-que-compromete-mas-de-9-000-routers-con-backdoor-persistente/&media=https://i2.wp.com/cdn.mos.cms.futurecdn.net/ByMMsf3JoxxvuE5b8N82o6-650-80.jpg.webp?resize=650,365&ssl=1&description=Asus ha emitido múltiples declaraciones oficiales en respuesta a un ataque de botnet altamente publicitado que ha infectado más de 9,000 routers hasta la fecha. El botnet denominado "AyySSHush" ha infectado a sus víctimas a través de una combinación de ataques de fuerza bruta y elusión de autenticación, ocultando su puerta trasera en memoria no volátil para intentar sobrevivir a las actualizaciones y restauraciones de firmware.){kind=link}