El fabricante de equipos de red Zyxel ha publicado actualizaciones de firmware para corregir una vulnerabilidad crítica en UPnP que afecta a distintos modelos de routers 4G/5G, CPE DSL/Ethernet, terminales ópticos (Fiber ONT) y repetidores inalámbricos. El fallo, identificado como CVE-2025-13942, permite a un atacante remoto ejecutar comandos arbitrarios en el dispositivo sin necesidad de autenticación, con impacto directo en usuarios domésticos y pequeñas oficinas.
CVE-2025-13942: fallo de inyección de comandos en UPnP de routers Zyxel
La vulnerabilidad CVE-2025-13942 está relacionada con una inyección de comandos en la implementación del protocolo UPnP (Universal Plug and Play) de ciertos dispositivos Zyxel. El problema reside en la forma en que el equipo procesa determinados parámetros de las peticiones UPnP, que pueden ser manipulados para que el sistema operativo los interprete como comandos del propio sistema.
UPnP está diseñado para facilitar la apertura automática de puertos y la configuración de servicios de red por parte de aplicaciones y dispositivos (por ejemplo, consolas de videojuegos o clientes P2P). Sin embargo, una implementación insegura convierte esta comodidad en una superficie de ataque muy atractiva para el cibercrimen.
Explotación mediante peticiones SOAP UPnP sin credenciales
Para explotar CVE-2025-13942 no se requieren usuario ni contraseña. El atacante solo necesita enviar una petición SOAP UPnP especialmente diseñada al dispositivo vulnerable. Debido a la falta de validación adecuada de los datos de entrada, el router termina ejecutando comandos arbitrarios a nivel del sistema operativo.
Este vector de ataque puede utilizarse para descargar y ejecutar malware, crear nuevas cuentas de usuario con privilegios elevados, modificar reglas de cortafuegos o alterar la configuración de red. En la práctica, el atacante obtiene control total sobre el dispositivo comprometido.
La explotación requiere que estén activadas simultáneamente dos funciones: UPnP y acceso WAN/remoto a la interfaz de administración. Aunque el acceso WAN suele venir deshabilitado por defecto en muchas variantes de routers Zyxel, es frecuente que los administradores lo habiliten para gestión remota, juegos en línea o servicios que dependen del reenvío automático de puertos.
Alcance del riesgo: miles de routers Zyxel expuestos en Internet
Datos recopilados por el proyecto Shadowserver indican que hay alrededor de 120 000 dispositivos Zyxel visibles desde Internet, de los cuales más de 76 000 son routers. No todos ellos serán necesariamente vulnerables a CVE-2025-13942, pero estas cifras reflejan el tamaño de la superficie de ataque y el atractivo de los dispositivos de consumo y SOHO para la creación de botnets y campañas de extorsión.
Una vez comprometido, el router puede integrarse en redes de bots para DDoS, servir como proxy para ocultar el origen de otras actividades maliciosas, participar en cryptomining no autorizado o actuar como punto de entrada para atacar otros equipos de la red interna.
Otras vulnerabilidades Zyxel: CVE-2025-13943 y CVE-2026-1459 tras autenticación
Además del fallo crítico en UPnP, Zyxel ha solucionado dos vulnerabilidades adicionales, CVE-2025-13943 y CVE-2026-1459, también clasificadas como inyección de comandos. En estos casos, la explotación requiere disponer de credenciales válidas de administrador o usuario.
En escenarios reales, estas credenciales suelen obtenerse mediante phishing, ataques de fuerza bruta contra contraseñas débiles o reutilización de claves filtradas en otros servicios. Una vez iniciada sesión en el panel de gestión, el atacante puede manipular parámetros en peticiones HTTP para forzar la ejecución de comandos y escalar desde la mera toma de cuenta al control completo del dispositivo y, potencialmente, del segmento de red asociado.
Dispositivos Zyxel sin soporte: CVE-2024-40890 y CVE-2024-40891 sin parche
Un punto especialmente sensible es la situación de dos vulnerabilidades de día cero, CVE-2024-40890 y CVE-2024-40891, que ya están siendo explotadas activamente y afectan a routers Zyxel fuera de ciclo de soporte. El fabricante ha comunicado que no publicará actualizaciones de seguridad para estos modelos, pese a que algunos aún se encuentran a la venta en comercios en línea.
En ausencia de parches, la recomendación oficial es sustituir cuanto antes estos routers por equipos actuales con firmware soportado. Este caso ilustra una tendencia clara: los routers domésticos y de pequeña empresa tienen un ciclo de vida de seguridad limitado; seguir utilizándolos tras el fin de soporte implica una exposición creciente a fallos irremediables.
Recomendaciones de ciberseguridad para usuarios de routers Zyxel
Para reducir al mínimo el riesgo asociado a CVE-2025-13942 y las vulnerabilidades relacionadas en routers Zyxel, se recomiendan las siguientes medidas:
1. Actualizar inmediatamente el firmware. Verificar en la web oficial de Zyxel o en la interfaz de administración si existen nuevas versiones de firmware para el modelo concreto e instalarlas. Cuando sea posible, habilitar las actualizaciones automáticas.
2. Desactivar UPnP si no es estrictamente necesario. Aunque UPnP facilita el uso de determinados servicios, también amplía la superficie de ataque. Si no es imprescindible, conviene deshabilitar UPnP en el router.
3. Restringir el acceso WAN y la administración remota. La consola de gestión no debería ser accesible libremente desde Internet. Es preferible desactivar la administración remota o limitarla por lista de IP permitidas, usar VPN y contraseñas únicas y robustas.
4. Fortalecer las credenciales y, si es posible, usar MFA. Emplear contraseñas largas, aleatorias y no reutilizadas reduce la eficacia de los ataques que dependen de la sustracción de credenciales. Cuando el dispositivo lo soporte, activar autenticación en dos factores.
5. Auditar periódicamente la infraestructura de red. Conviene inventariar routers y puntos de acceso, revisar si siguen recibiendo soporte del fabricante y comprobar la existencia de vulnerabilidades críticas. Mantener equipos obsoletos en producción suele ser más costoso en riesgo que su sustitución planificada.
Los routers y CPE se han convertido en la puerta principal de la infraestructura digital de hogares y oficinas. Incidentes como CVE-2025-13942 demuestran que la seguridad ya no puede limitarse al antivirus en el ordenador. Mantener el firmware actualizado, deshabilitar servicios expuestos innecesarios (UPnP, administración por WAN) y renovar a tiempo el hardware sin soporte son pasos básicos para elevar de forma significativa el nivel de protección frente a ciberataques. Cuanto más rigurosa sea la gestión de estos dispositivos hoy, menor será la capacidad de los atacantes para explotarlos mañana.
