- Visitas: 236
Nuevo botnet RondoDox amenaza dispositivos de red. Cómo actúa y cómo protegerse
Un nuevo y sofisticado botnet llamado RondoDox ha sido detectado con un despliegue agresivo que apunta a dispositivos conectados a Internet en todo el mundo. Esta campaña de ciberataques representa una alerta para organizaciones de todo tipo, incluidas universidades, centros de investigación y empresas, pues explota vulnerabilidades conocidas, dispositivos de borde sin protección adecuada y un enfoque poco habitual que los investigadores han descrito como “escopeta de exploits” (exploit-shotgun). Esta noticia presenta qué es RondoDox, cómo actúa, qué riesgos conlleva y cómo puede protegerse una organización ante esta y otras amenazas de seguridad informática.
¿Qué es RondoDox?
RondoDox es un botnet[1] que compromete dispositivos conectados a Internet como routers, grabadores de video (DVR/NVR), cámaras de vigilancia, servidores Linux de borde para reclutarlos en una red controlada por atacantes. La familia de malware se descubrió con mayor visibilidad en 2025, cuando los investigadores de Trend Micro y de FortiGuard Labs identificaron su patrón de comportamiento: explotación masiva de dispositivos expuestos, automatización en la ejecución y ocultamiento del tráfico con técnicas de evasión.
¿Cómo actúa y cómo se infecta?
Vectores de infección y vulnerabilidades:
RondoDox aprovecha vulnerabilidades públicas y conocidas (vulnerabilidades “n-day”[2]) en dispositivos de red y de videovigilancia. Se han detectado intentos de explotación de CVE‑2024‑3721 (inyección de comandos en DVR TBK DVR-4104/DVR-4216) y CVE‑2024‑12856 (inyección de comandos en routers Four-Faith F3x24/F3x36) que fueron divulgados públicamente. Además, según Trend Micro, RondoDox está explotando ya más de 50 vulnerabilidades en más de 30 fabricantes distintos
Método de infección y persistencia
Una vez que el ataque encuentra un dispositivo vulnerable, descarga un “loader” o script que instala el binario adaptado a la arquitectura (ARM, MIPS, x86_64, etc.). FortiGuard describe cómo el malware utiliza rutas como /tmp/lib, modifica cron jobs y borra el historial para ocultar su existencia. Luego el dispositivo queda bajo el control una botnet, recibiendo comandos desde un dispositivo comprometido una vez infectado, lo que permite su uso para otros propósitos.
Enfoque de “escopeta” (exploit-shotgun)
Lo que distingue a RondoDox de muchos otros botnets es su estrategia de “escopeta”: en vez de lanzar un único exploit específico, dispara decenas de ellos simultáneamente o en rápida sucesión, sobre distintos dispositivos, fabricantes y arquitecturas. Según un artículo de (Dark Reading, 2025): “RondoDox takes a hit-and-run, shotgun approach to exploiting bugs in consumer edge devices around the world.”
Así, el objetivo no es ser sigiloso desde el inicio, sino maximizar la tasa de infección aprovechando que muchos dispositivos están desactualizados o mal configurados.
¿Qué riesgos y daños puede causar?
Potencial de daño:
- DDoS (ataques de denegación de servicio): los dispositivos infectados pueden utilizarse para generar tráfico masivo hacia objetivos, afectando disponibilidad de servicios.
- Proxies residenciales y abuso de red: al controlar dispositivos en ubicaciones diversas, los atacantes pueden convertirlos en salidas de proxy para actividades maliciosas, ocultando su origen.
- Acceso lateral en redes corporativas o educativas: un dispositivo mal protegido en un entorno de campus o empresa puede ser puerta de entrada hacia sistemas críticos internos.
- Evasión y persistencia difícil de eliminar: la combinación de múltiples arquitecturas, técnicas de borrado de historial y tráfico camuflado hace que la limpieza de la infección sea compleja.
¿Por qué es relevante para entornos de educación superior e investigación?
En universidades, facultades, laboratorios y residencias estudiantiles se encuentran muchos dispositivos conectados al borde de la red: cámaras de vigilancia, NVR/DVR, routers antiguos, switches, dispositivos IoT que a veces quedan fuera del control estricto del equipo de TI. Esto convierte a esas infraestructuras en blancos ideales para RondoDox, dada su estrategia masiva y heterogénea.
¿Cómo protegerse de RondoDox y otras amenazas similares?
Buenas prácticas de defensa
- Inventario y visibilidad: identificar todos los dispositivos conectados a Internet o a zonas de franquicia de la red (cámaras, grabadores, routers, IoT).
- Parcheo sistemático: Aplicar las actualizaciones de firmware de fabricantes, priorizando vulnerabilidades como CVE-2024-3721, CVE-2024-12856, y otras explotadas por RondoDox.
- Cambio de credenciales por defecto: Asegurar que los dispositivos no usen contraseñas por defecto o fáciles de adivinar; si se puede, implementar autenticación fuerte.
- Segmentación de red: Mantener los dispositivos de borde (cámaras, DVR, IoT) en segmentos separados de la red principal. Limitar su acceso a zonas de confianza.
- Desactivación del acceso directo desde Internet: Evitar que dispositivos administrativos tengan interfaces abiertas a Internet; si es necesario, acceder mediante VPN segura.
- Monitoreo y detección: implementar sistemas de detección de intrusiones, alertas de tráfico inusual (especialmente de dispositivos que normalmente no salen hacia Internet), y revisar logs de cambios de sistema.
- Retiro de hardware obsoleto: si un dispositivo ya no recibe soporte o parches del fabricante, considere reemplazar o aislar.
- Planes de respuesta a incidentes: definir cómo aislar un dispositivo infectado, limpiar la infección, restaurar la configuración y reinsertarlo bajo control seguro.
Enfocado en este botnet (RondoDox)
- Priorice la revisión de dispositivos de marcas vulnerables como TBK DVR, Four-Faith routers, TP-Link Archer AX21 (CVE-2023-1389) que ya fueron explotados.
- Supervise conexiones salientes hacia los hosts de mando y control ya identificados.
Verifique procesamiento de scripts sospechosos, cron jobs inesperados, borrado de historial de comandos: indicadores típicos de RondoDox.
Conclusión
El botnet RondoDox muestra cómo la ciberamenaza evoluciona hacia estrategias más amplias, automatizadas y oportunistas: un enfoque de “escopeta de exploits” que no espera la vulnerabilidad perfecta, sino que lanza muchas y se queda con las que funcionan. Para cualquier organización especialmente universidades, centros educativos y de investigación, la combinación de dispositivos heterogéneos conectados al borde, acceso público y mantenimiento a veces más débil, hace que la amenaza sea muy real. La buena noticia es que muchas de las vulnerabilidades ya tienen parches: la diferencia estará en la rapidez y rigor con los que se apliquen.
Llamado a la acción
Revise su infraestructura de dispositivos de borde, aplique parches, segmente sus redes, y consulte los informes técnicos de fuentes como Trend Micro y FortiGuard Labs para incorporar indicadores de compromiso (IoC) en su monitoreo. No espere a que un dispositivo se “infecte” para tomar medidas.
Bibliografía
BleepingComputer. (2025). RondoDox botnet targets 56 n-day flaws in worldwide attacks. https://www.bleepingcomputer.com/news/security/rondodox-botnet-targets-56-n-day-flaws-in-worldwide-attacks
Dark Reading. (2025). RondoDox Botnet: an 'Exploit Shotgun' for Edge Vulns. https://www.darkreading.com/endpoint-security/rondodox-botnet-exploit-edge-vulns
Fortinet. (2025). RondoDox Unveiled: Breaking Down a New Botnet Threat. https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat
hispasec. (2025). RondoDox amplía su botnet: más de 50 vulnerabilidades explotadas en routers y dispositivos IoT. https://unaaldia.hispasec.com/2025/10/rondodox-amplia-su-botnet-mas-de-50-vulnerabilidades-explotadas-en-routers-y-dispositivos-iot.html
Trend Micro. (2025). RondoDox: From Targeting Pwn2Own Vulnerabilities to Shotgunning Exploits. https://www.trendmicro.com/en_us/research/25/j/rondodox.html
[1] Botnet: Red de dispositivos conectados a Internet que han sido infectados por malware y están bajo el control de un ciber-criminal, permitiéndole utilizarlos de forma coordinada para ataques, fraudes o hacerlos funcionar como proxies
[2] N-day: Es una debilidad de seguridad que ya es pública o conocida, que ya ha sido divulgada, y para la cual puede existir un parche o solución, pero que no ha sido aplicada en algunos sistemas.
[3] Botnet: Red de dispositivos conectados a Internet que han sido infectados por malware y están bajo el control de un ciber-criminal, permitiéndole utilizarlos de forma coordinada para ataques, fraudes o hacerlos funcionar como proxies
[4] N-day: Es una debilidad de seguridad que ya es pública o conocida, que ya ha sido divulgada, y para la cual puede existir un parche o solución, pero que no ha sido aplicada en algunos sistemas.
