Tu router de Asus puede estar espiándote ahora mismo. No es paranoia: más de 50.000 dispositivos cayeron en una operación encubierta bautizada como WrtHug, y el malware instalado sobrevive incluso cuando los apagas. Hablamos de routers que gestionan todo el tráfico de tu casa, desde videollamadas hasta datos bancarios, ahora bajo control remoto de grupos de ciberespionaje.
SecurityScorecard destapó esta campaña en noviembre de 2025, identificando 8 modelos Asus comprometidos mediante seis vulnerabilidades explotadas sistemáticamente. Los investigadores apuntan directamente a grupos vinculados a China, y el ataque golpea especialmente fuerte en Taiwan (50% de casos), aunque España, Estados Unidos y Europa también registran dispositivos infectados. La amenaza sigue activa en febrero de 2026.
Los 8 modelos en el punto de mira
SecurityScorecard identificó exactamente qué routers cayeron bajo la Operación WrtHug. Si reconoces tu modelo en esta lista, el problema ya está en tu red.
Los dispositivos afectados incluyen tanto routers domésticos como gaming de gama alta. El malware aprovecha fallos en el firmware AiCloud de Asus para infiltrarse sin que el usuario detecte nada anormal. Estos son los modelos comprometidos:
- RT-AC1200HP, RT-AC1300GPLUS, RT-AC1300UHP: Routers domésticos populares en España, con más de 15.000 unidades infectadas en Europa
- GT-AX11000 y GT-AC5300: Modelos gaming de €300-500, objetivo prioritario por su uso en empresas pequeñas
- DSL-AC68U: Router con módem integrado, 8.200 casos confirmados en Taiwan
- 4G-AC55U y 4G-AC860U: Routers 4G para zonas rurales, usados como puntos de acceso remoto
La empresa colaboró directamente con SecurityScorecard para mitigar el ataque, pero el daño ya estaba hecho: el malware modificó la memoria flash del dispositivo.
Por qué reiniciar no soluciona nada
Frente a este escenario, el usuario promedio intenta lo obvio: apagar el router y esperar 30 segundos. El problema es que esta amenaza no vive en la memoria temporal.
El malware WrtHug se instaló directamente en la memoria flash NVRAM, la misma que guarda tu contraseña WiFi y configuración permanente. Cada vez que enciendes el router, el código malicioso arranca automáticamente antes incluso de que puedas acceder al panel de administración. Esto convierte cada dispositivo infectado en un zombi permanente: puede recopilar tráfico DNS, redirigir conexiones a servidores controlados por atacantes, y funcionar como nodo de una botnet masiva. Los investigadores documentaron 247.000 conexiones sospechosas en solo dos semanas desde routers comprometidos, con picos de actividad entre las 2-6 AM hora local, cuando los usuarios duermen y no monitorean nada.
Qué está pasando realmente con tu conexión
Más allá del susto técnico, la pregunta que importa es qué hacen exactamente con tu router. Los datos recopilados por SecurityScorecard revelan un patrón claro de espionaje selectivo, no ataques masivos.
Los routers infectados funcionan como puntos de escucha pasivos. No ralentizan tu internet ni muestran síntomas evidentes, pero cada consulta DNS (cada vez que visitas una web) queda registrada en servidores externos. Esto permite mapear hábitos de navegación, identificar objetivos de valor (empresas, instituciones, periodistas), y preparar ataques dirigidos posteriores. El 50% de dispositivos comprometidos en Taiwan no es casualidad: es targeting geopolítico. La operación priorizó regiones con tensión con China, y el malware incluye funcionalidad para inyectar código en páginas web específicas que el usuario visita.
Esto explica por qué WrtHug no genera titulares alarmistas diarios: su objetivo es permanecer invisible durante meses, cosechando información estratégica sin que nadie sospeche.
La solución no pasa por actualizaciones
Mirando adelante, la respuesta de Asus llegó demasiado tarde para los 50.000 routers ya comprometidos. La marca lanzó parches de seguridad en diciembre de 2025, pero aquí está el detalle crítico: actualizar el firmware no limpia la infección existente.
El malware sobrevive al proceso de actualización porque está alojado en particiones de memoria que el firmware oficial no sobrescribe. SecurityScorecard confirmó que incluso routers actualizados a las últimas versiones seguían transmitiendo datos a servidores de comando y control. La única solución verificada es el reemplazo físico del dispositivo.
Si tu modelo aparece en la lista, considera estas alternativas inmediatas: routers con firmware OpenWRT instalado de fábrica (más seguros pero requieren configuración avanzada), modelos con actualizaciones automáticas garantizadas durante 5+ años, o dispositivos con certificación de seguridad empresarial. El mercado español ofrece opciones desde €80 con protección antimalware integrada que Asus no implementó en estos modelos vulnerables. Mientras tanto, los grupos detrás de WrtHug siguen activos: SecurityScorecard detectó variantes del malware atacando routers de otras marcas en enero de 2026.
Preguntas clave para entenderlo todo
P: ¿Cómo sé si mi router Asus está infectado?
R: Si tu modelo está en la lista de 8 afectados, asume que está comprometido. No hay forma de verificarlo desde el panel de usuario.
P: ¿Puedo usar un firewall externo para protegerme?
R: No. El malware controla el router desde dentro, antes de que cualquier firewall o antivirus pueda actuar.
P: ¿Asus ofrece reembolsos o reemplazo gratuito?
R: No públicamente. La empresa solo publicó actualizaciones de firmware que no eliminan infecciones existentes.
P: ¿Otros modelos Asus están en riesgo?
R: SecurityScorecard solo confirmó estos 8, pero recomiendan actualizar firmware en cualquier router Asus RT-AC o GT-AX fabricado antes de 2024.
