Una vulnerabilidad crítica en varios modelos de enrutadores y dispositivos de red de Zyxel ha obligado a la compañía a publicar actualizaciones de seguridad este mes. El fallo, registrado como CVE-2025-13942, permite la inyección de comandos a través de la funcionalidad UPnP, lo que en el peor de los casos podría dar a un atacante la capacidad de ejecutar órdenes del sistema operativo en un equipo sin necesidad de autenticarse.
Según la propia Zyxel, el problema está en el procesamiento de solicitudes SOAP de UPnP en una gama amplia de productos, que incluye equipos CPE 4G LTE/5G NR, CPE DSL/Ethernet, ONT de fibra y extensores inalámbricos. Un atacante que envíe mensajes UPnP manipulados podría aprovechar esa debilidad para provocar ejecución remota de comandos en los dispositivos vulnerables; Zyxel explica con más detalle las condiciones y las versiones afectadas en su aviso técnico, disponible en su web oficial: Zyxel Security Advisory.
Es importante matizar el alcance real del riesgo. Para que la explotación sea viable de forma remota se requieren dos condiciones: que UPnP esté activo en el dispositivo y que exista acceso WAN al servicio UPnP. Zyxel indica que el acceso WAN viene desactivado por defecto en sus equipos, por lo que en muchos casos la exposición práctica será menor que la que sugiere la severidad teórica del fallo. Aun así, en redes donde un proveedor o el propio usuario haya activado acceso remoto o UPnP, el peligro es real.
Aparte de ese fallo, Zyxel publicó correcciones para otras dos vulnerabilidades de gravedad alta que requieren credenciales válidas para explotarse: CVE-2025-13943 y CVE-2026-1459. Ambos permitirían a un atacante con acceso autenticado ejecutar comandos en el sistema del dispositivo, por lo que también merecen atención inmediata por parte de administradores y usuarios responsables.
La escala del ecosistema Zyxel agrava la situación: proyectos de seguimiento de dispositivos expuestos a Internet como Shadowserver registran casi 120.000 equipos Zyxel visibles desde Internet, de los cuales más de 76.000 son routers. Esa presencia se explica en parte porque muchos proveedores de servicios entregan estos equipos como “plug-and-play” al contratar una conexión, con configuraciones por defecto que no siempre minimizan el riesgo.
Además, la Agencia de Seguridad Cibernética e Infraestructura de Estados Unidos (CISA) mantiene en su catálogo múltiples vulnerabilidades de Zyxel que han sido explotadas activamente. En su registro público se pueden consultar las entradas relacionadas y verificar cuáles están catalogadas como “conocidamente explotadas”: CISA Known Exploited Vulnerabilities.
Otro punto que conviene recordar es la gestión del ciclo de vida de los equipos. Zyxel ha reconocido que determinados modelos antiguos ya no recibirán parches para vulnerabilidades explotadas en estado cero (zero-days) y ha recomendado a los usuarios sustituir esos equipos EOL (end-of-life) por alternativas más recientes que sí estén actualizadas. Si el fabricante no ofrece corrección para un dispositivo, la única defensa real a largo plazo es reemplazar el hardware por uno con soporte vigente.
Desde una perspectiva práctica, la primera y más urgente recomendación es la habitual en estos casos: instalar las actualizaciones de firmware publicadas por Zyxel tan pronto como sea posible. Si no puedes actualizar de inmediato, conviene comprobar y, si procede, desactivar UPnP y el acceso remoto desde la WAN en la configuración del equipo. También es buena idea cambiar las credenciales por defecto, segmentar la red para aislar el router de dispositivos críticos y, en entornos empresariales, monitorizar el tráfico y los logs por signos de comportamiento inusual.
Si tu módem o router te lo facilitó tu operador y no sabes cómo acceder al panel de administración o aplicar la actualización, contacta con el servicio técnico del proveedor: muchas operadoras gestionan las actualizaciones de forma remota o pueden sustituir equipos obsoletos. Para entornos empresariales, donde la exposición puede implicar activos críticos, merece la pena contar con un plan de respuesta y revisar inventario y políticas de renovación de hardware.
El caso de Zyxel ilustra una lección recurrente en seguridad de redes domésticas y pequeñas empresas: dispositivos ampliamente desplegados y configurados por defecto se convierten en objetivos prioritarios para atacantes. Aunque no todos los usuarios estarán en riesgo inmediato por las condiciones de explotación, la disponibilidad pública de estos fallos y el número de aparatos expuestos justifican una reacción proactiva.
Para quienes quieran consultar las fuentes primarias y profundizar en los detalles técnicos y las mitigaciones oficiales, aquí tienes los enlaces a los avisos y registros citados: el aviso de Zyxel sobre estas vulnerabilidades está en su web, los CVE individuales se pueden revisar en la base de datos pública de CVE (CVE-2025-13942, CVE-2025-13943, CVE-2026-1459), y el monitoreo de nuestra superficie expuesta puede confirmarse con proyectos como Shadowserver y la lista de vulnerabilidades explotadas de CISA.
En resumen: la existencia de parches ya disponibles es una buena noticia, pero la presencia masiva de dispositivos Zyxel en redes de todo el mundo y la decisión de no actualizar hardware antiguo obligan a tomar medidas activas: actualizar cuando sea posible, desactivar funciones innecesarias como UPnP y acceso WAN remoto, y sustituir equipos EOL para reducir la ventana de exposición.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...