Los enrutadores DrayTek dejaron de funcionar repentinamente en todo el mundo

Durante el pasado fin de semana (22-23 de marzo), los propietarios de routers DrayTek en todo el mundo se enfrentaron a un problema grave: los dispositivos comenzaron a fallar masivamente, entrando en un ciclo continuo de reinicios. Los primeros en notar el problema fueron los proveedores de servicios en el Reino Unido, cuando miles de sus clientes se quedaron sin acceso a Internet.

La falla se manifestó de forma repentina: en la noche del sábado al domingo, algunos modelos de DrayTek entraron en un ciclo infinito de reinicios. Los usuarios no podían conectarse a la red ni acceder al panel de administración del dispositivo. El fabricante reconoció la existencia del fallo y recomendó desconectar el router de Internet y luego intentar actualizar el firmware.

La empresa aconseja utilizar la actualización mediante TFTP si el método estándar a través de la interfaz web no funciona. Además, el fabricante recomienda encarecidamente desactivar el acceso remoto a la administración si no es absolutamente necesario, así como desactivar temporalmente el SSL VPN. También se señala que las listas de control de acceso no se aplican al SSL VPN, lo que hace que este canal sea vulnerable si no se ha aplicado una actualización.

Los propios proveedores también informaron sobre lo sucedido. La empresa británica Gamma confirmó que algunos clientes experimentaron el problema, pero negó estar relacionada con el incidente. El proveedor Zen inicialmente sospechó que se trataba de un fallo en su infraestructura, pero más tarde descubrió que los errores estaban exclusivamente relacionados con el equipo de DrayTek. Declaraciones similares provinieron de ICUK y A&A, que confirmaron fallos entre sus clientes.

Las suposiciones sobre las causas del incidente están relacionadas con vulnerabilidades recientemente reveladas en el firmware de DrayTek. Algunas de ellas eran de nivel crítico y podían ser utilizadas para ejecutar código malicioso o inutilizar el dispositivo. Según especialistas de A&A, es bastante probable que la falla haya sido resultado de la explotación de estas vulnerabilidades, especialmente en dispositivos sin actualizaciones recientes.

DrayTek ya se había enfrentado anteriormente a problemas similares. En octubre, la empresa solucionó una vulnerabilidad con una puntuación de 10 sobre 10 en la escala CVSS en un modelo obsoleto, y ya en 2025 publicó una nueva lista de fallos corregidos que podían causar errores y la infección de dispositivos. Algunos usuarios informan que incluso el firmware actualizado no soluciona el problema del reinicio continuo, y en algunos casos es necesario volver a una versión anterior.

Resulta llamativo que un mes antes del parche de octubre, la alianza de inteligencia "Five Eyes" advirtiera que un grupo de hackers chinos estaba utilizando dispositivos DrayTek infectados para crear una botnet con hasta 260 mil dispositivos. Según el director del FBI, los atacantes fueron identificados y comenzaron a desmantelar parte de su infraestructura.

Los problemas de reinicio se han reportado no solo en el Reino Unido, sino también en Asia y Australia. Algunos usuarios sugieren que el incidente podría ser tanto el resultado de vulnerabilidades como de un intento de explotación masiva de las mismas. Por ahora, no existe un método único de recuperación garantizada: todo depende del modelo del dispositivo, del firmware y de cuán rápido el usuario lo haya desconectado de Internet.

DrayTek aún no ha dado explicaciones completas, pero la comunidad de usuarios continúa compartiendo experiencias sobre cómo recuperar el equipo. Es importante destacar que las recomendaciones de la mayoría de los proveedores se centran en desactivar el acceso remoto y aplicar los parches lo más rápido posible.