La botnet MikroTik aprovecha los errores de configuración de SPF para propagar malware

En noticias recientes sobre ciberseguridad, Infoblox Threat Intel descubrió una red de bots que afectaba a 13.000 dispositivos MikroTik. La botnet explotaba vulnerabilidades en las configuraciones de registros DNS SPF para eludir las defensas de correo electrónico. Tras la explotación, la botnet suplantó unos 20.000 dominios web para propagar malware.

Por qué las botnets son una amenaza persistente

Las botnets son una red de dispositivos comprometidos manipulados y controlados por actores de amenazas, de forma remota. Las botnets han sido una amenaza persistente para la ciberseguridad durante años. Su naturaleza ampliamente distribuida las convierte en un vector fácil para la propagación de actividades maliciosas a gran escala. 

Las botnets han sido responsables de lo siguiente en el pasado:

• Ataques distribuidos de denegación de servicio(DDoS)El objetivo de los ataques DDoS es saturar la red de un objetivo y bloquear los servicios o distraer a los defensores.
• Campañas de spam y phishing, inundan las bandejas de entrada con correos electrónicos maliciosos para robar información confidencial o propagar malware.
• Relleno de credenciales para automatizar los intentos de inicio de sesión con credenciales robadas.
• Robo de datos que extrae datos personales o corporativos con fines lucrativos o ataques posteriores.
• Cryptojackinges el secuestro de recursos del dispositivo para minar criptomonedas.
• Redes proxy y fraude de clicsEl fraude del clic es el acto de ocultar la ubicación de los atacantes y defraudar a los anunciantes.

En la reciente campaña de spam de malware descubierta por Infoblox, las redes de bots utilizaron más de 13.000 routers MikroTik comprometidos. Se trata de una preocupación creciente para el sector de la ciberseguridad.

¡Simplifique la seguridad con PowerDMARC!

Anatomía de una campaña de malware

Spam de facturas de flete

A finales de noviembre de 2024, el inicio de la campaña comenzó cuando Infoblox descubrió una campaña de spam de facturas. Se enviaron correos electrónicos no deseados, haciéndose pasar por facturas del servicio de mensajería DHL, con archivos ZIP que contenían cargas maliciosas JavaScript. Los archivos archivos ZIP adjuntos tenían convenciones de nomenclatura coherentes como:

• Factura (número de 2-3 dígitos).zip
• Seguimiento (número de 2-3 dígitos).zip

Análisis de la carga útil

Los archivos ZIP, también conocidos como archivos JavaScript, ejecutaban scripts Powershell. Estos se conectaban a un servidor de mando y control (C2) de malware alojado en una dirección IP sospechosa. La dirección IP tenía un historial de actividades maliciosas previas en la web. De este modo, la botnet creó una red que inició una cadena de distribución de malware troyano. 

¿Cómo se vieron comprometidos los routers MikroTik? 

Según la investigación de Infoblox, más de 13.000 routers MikroTik fueron secuestrados por la botnet. Estos routers estaban configurados como proxies SOCKS. Esto enmascaraba su origen, haciéndolos inidentificables. 

Los routers MikroTik eran un objetivo fácil para la botnet debido a sus vulnerabilidades críticas inherentes: 

• Los routers tienen un fallo de ejecución remota de código que es fácilmente explotable con acceso autenticado.
• El despliegue de proxies SOCK permitió a los actores de la amenaza ocultar sus identidades originales. 
• Varios dispositivos se enviaron con cuentas "admin" por defecto, que contenían contraseñas en blanco.

Papel de los errores de configuración de SPF en la campaña de Malspam

Los servidores de correo receptores autentican la legitimidad de los remitentes de correo electrónico a través de los registros TXT de DNS. El registro SPF o Sender Policy Framework es un ejemplo de ello. Sin embargo, los registros SPF permisivos en miles de dominios remitentes proporcionaron el resquicio que los atacantes necesitaban para eludir las comprobaciones de autenticación. 

Ejemplo de registros SPF mal configurados

Un ejemplo de registro SPF no permisivo es el siguiente:

v=spf1 include:ejemplo.dominio.com -all

Este ejemplo permite que sólo los servidores especificados envíen correos electrónicos en nombre de un dominio. Los dominios que no estén explícitamente autorizados fallarán SPF. 

Un ejemplo de registro SPF permisivo es el siguiente: 

v=spf1 include:ejemplo.dominio.com +all

El ejemplo anterior permite a cualquier servidor enviar correos electrónicos en nombre de un dominio, lo que permite la suplantación de identidad. Infloblox identificó el uso de configuraciones SPF permisivas como estas para lanzar las campañas maliciosas. 

Comprobación de las configuraciones SPF para evitar la explotación

Puede comprobar las configuraciones SPF de su dominio utilizando cualquiera de los siguientes métodos: 

Búsquedas manuales 

Los propietarios de dominios pueden consultar los registros SPF mediante los comandos NSlookup o Dig: 

• En Linux/MacOS: dig +short txt ejemplo.com | grep spf
• En Windows: nslookup -type=txt ejemplo.com | Select-String -Pattern "spf"

Búsquedas automáticas 

Una forma más sencilla de comprobar las configuraciones de DNS SPF es utilizar la herramienta de comprobación SPF de PowerDMARC herramienta de comprobación SPF.

• Introduzca su nombre de dominio en la caja de herramientas (por ejemplo, dominio.com)
• Pulse el botón "Buscar 
• Revise sus resultados 

¡Así de fácil! Esta es una forma sencilla e instantánea de comprobar SPF sin ejecutar un script o comando Powershell y no requiere conocimientos técnicos. 

Nota final: Lecciones aprendidas 

La capacidad de la red de bots para explotar las vulnerabilidades de DNS lanzando sofisticados ataques de suplantación de identidad pone de relieve la necesidad de seguir las mejores prácticas de seguridad del correo electrónico: 

• Los propietarios de dominios deben auditar periódicamente los registros DNS para garantizar que se cumplen los requisitos de SPF, DKIM y DMARC correctas.
• Los propietarios de dominios deben abstenerse de utilizar políticas SPF o políticas DMARC durante largos periodos de tiempo.
• Elimine o proteja las cuentas de administrador predeterminadas de los dispositivos.
• Activar Informes DMARC para supervisar el tráfico de correo electrónico y detectar accesos no autorizados.
• Y lo que es más importante, utilice servicios de optimización de macros SPF como Hosted SPF para corregir errores y puntos débiles de SPF, y cumplir con las limitaciones de búsqueda DNS de SPF fácilmente.

El descubrimiento de los exploits de la red de bots MikroTik es un testimonio de la creciente preocupación por los ciberataques sofisticados. Para mantenerse protegidas, las empresas deben actualizar su pila de seguridad para allanar el camino a las modernas tecnologías de ciberseguridad respaldadas por IA. Esto les permitirá navegar por el panorama de las amenazas sin problemas y sin sufrir daños.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• Compresión SPF: reduce las consultas DNS de SPF y optimiza tu registro SPF - 25 de marzo de 2026
• Certificado de marca verificada frente a certificado de marca común: elegir el más adecuado - 10 de marzo de 2026
• Nivel de confianza de spam (SCL) -1 Bypass: qué significa y cómo gestionarlo - 4 de marzo de 2026