El router D-Link DIR-878, muy popular como equipo de doble banda para entornos domésticos y pequeñas oficinas, se ha convertido en un objetivo atractivo para los atacantes debido a varias vulnerabilidades de seguridad graves en su firmware. El fabricante ha reconocido oficialmente los problemas, pero el dispositivo está en estado end-of-life (EoL) desde 2021, por lo que no habrá actualizaciones de firmware ni parches de seguridad. En la práctica, la opción recomendada para los propietarios es sustituir el equipo por un modelo soportado.
Vulnerabilidades en D-Link DIR-878: ejecución remota de código y fallo en USB
Un investigador independiente de seguridad, conocido como Yangyifan, publicó detalles técnicos y pruebas de concepto (PoC) de cuatro vulnerabilidades que afectan al firmware del DIR-878. Tres de ellas permiten ejecución remota de código o comandos (RCE), es decir, que un atacante pueda tomar el control del router de forma remota a través de la red, sin necesidad de acceso físico.
La cuarta vulnerabilidad, identificada como CVE-2025-60674, está relacionada con un desbordamiento de pila durante el procesamiento de unidades USB conectadas al router. Para explotarla es necesario conectar físicamente un dispositivo malicioso al puerto USB, lo que limita el escenario de ataque, pero en entornos de oficina o redes compartidas puede permitir un compromiso completo del dispositivo con acceso local.
Por qué la ejecución remota de código en routers es tan peligrosa
Las vulnerabilidades de remote code execution en routers se consideran críticas porque el equipo actúa como punto de entrada a toda la red. Si un atacante compromete un D-Link DIR-878, puede:
— Redirigir tráfico hacia sitios falsos y ejecutar ataques de phishing o man-in-the-middle;
— Manipular las consultas DNS, enviando a los usuarios a dominios maliciosos aun cuando escriben la URL correcta;
— Intercetar conexiones no cifradas y capturar credenciales, datos personales o información financiera;
— Lanzar ataques laterales contra otros equipos de la red: ordenadores, servidores o dispositivos IoT, utilizando el router como plataforma interna.
En muchos incidentes documentados, la comprometación del router pasa desapercibida. El usuario sigue navegando con normalidad mientras el dispositivo forma parte de un botnet, redirige tráfico o sirve como proxy para actividades delictivas.
Fin de soporte del DIR-878: un riesgo estructural de los routers EoL
El D-Link DIR-878 salió al mercado en 2017 y quedó oficialmente sin soporte en 2021. Esto implica el fin de nuevas versiones de firmware, incluidas actualizaciones de seguridad. Aun así, el modelo sigue apareciendo en el mercado de segunda mano e incluso como stock residual en algunos distribuidores.
D-Link ha indicado que no publicará parches para estas vulnerabilidades y recomienda a los usuarios migrar a modelos actuales con soporte activo. Este escenario es habitual en el ecosistema de redes: a medida que se descubren nuevos fallos, el riesgo de explotación aumenta, pero los dispositivos EoL quedan sin mecanismos oficiales de mitigación.
Interés de los botnets IoT en routers D-Link vulnerables
Según avisos del Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos, las vulnerabilidades identificadas por Yangyifan se clasifican con una criticidad media sobre el papel. Sin embargo, la publicación de exploits públicos cambia radicalmente el escenario: automatizar el escaneo de Internet en busca de routers vulnerables y su infección masiva resulta mucho más sencillo.
Botnets como Mirai y sus múltiples variantes explotan de forma activa decenas e incluso cientos de vulnerabilidades conocidas en routers y dispositivos IoT. Diversos informes de la industria señalan campañas que aprovechan más de 50 fallos distintos en equipos de red, incluidos modelos de D-Link. Un DIR-878 comprometido puede utilizarse para lanzar ataques DDoS, servir como proxy anónimo, participar en minería de criptomonedas o en otras actividades ilícitas.
Medidas de mitigación y recomendaciones para usuarios de D-Link DIR-878
Dado que no existen parches oficiales, la medida más eficaz es la sustitución del router por un modelo con soporte activo. Al elegir un nuevo dispositivo, conviene valorar:
— Disponibilidad de actualizaciones de firmware frecuentes y política de seguridad transparente del fabricante;
— Soporte de actualización automática (auto-update) o, al menos, avisos claros de nuevas versiones;
— Opciones para limitar o desactivar la administración remota (por IP, VPN o lista de control de acceso).
Si el reemplazo inmediato no es posible, se recomienda aplicar medidas de contención:
— Deshabilitar el acceso web remoto al panel de administración desde Internet;
— Restringir la gestión del router únicamente a la red interna y a usuarios de confianza;
— Cambiar credenciales por defecto y utilizar contraseñas robustas y únicas;
— Segmentar la red y, si es viable, colocar el DIR-878 detrás de un firewall o router más moderno, reduciendo su exposición directa a Internet.
La situación del D-Link DIR-878 ilustra que los routers y equipos de red tienen un claro “ciclo de vida de ciberseguridad”. Aunque el hardware siga funcionando, la ausencia de actualizaciones de firmware convierte al dispositivo en una puerta de entrada vulnerable. Revisar periódicamente el inventario de equipos, comprobar su estado de soporte y planificar la renovación de modelos obsoletos son prácticas esenciales para reducir el riesgo de incidentes. Para los propietarios de un DIR-878, el paso más prudente es iniciar cuanto antes la migración a soluciones modernas y mantener una vigilancia activa sobre la seguridad del perímetro de red.
