Los dispositivos edge —routers, firewalls, VPNs— se han convertido en objetivos prioritarios para los ciberdelincuentes. Lo que antes era una táctica propia de actores estatales para infiltrarse de forma encubierta, hoy es también territorio de grupos criminales que buscan beneficios económicos. En un contexto donde la conectividad es clave para las operaciones empresariales, estos dispositivos (frecuentemente subestimados) representan una puerta de entrada crítica y muchas veces desprotegida.
Su atractivo radica en que suelen contar con menores controles de seguridad en comparación con otras áreas del sistema. Además, resulta complejo aplicar parches o actualizaciones sin generar interrupciones visibles en los servicios, lo que muchas veces retrasa su mantenimiento. Esta situación los convierte en el blanco ideal para ataques dirigidos.
Una de las tácticas más preocupantes es la creación de Operational Relay Boxes (ORBs), dispositivos edge comprometidos y reutilizados como infraestructuras de anonimato y comunicación por los atacantes. Estas pasarelas inteligentes actúan como puentes entre redes de tecnología operativa (OT) y entornos de TI, desempeñando un rol clave en la automatización industrial. Sin embargo, también representan puntos de control críticos: un ORB comprometido puede ser utilizado para moverse lateralmente por la red, exfiltrar información sensible o incluso sabotear procesos.
El nuevo punto débil de las redes
En el último año, se ha visto un incremento claro en la explotación de vulnerabilidades en este tipo de dispositivos. Casos como los de Ivanti Connect Secure y PAN-OS GlobalProtect, que presentaron fallos que permitían la ejecución remota de código y la evasión de autenticación multifactor, han sido aprovechados tanto por grupos de ransomware como por actores estatales. El dilema para las empresas es claro: parchear implica riesgo operativo, pero no hacerlo implica exposición directa.
Además de los conocidos exploits, grupos como Magnet Goblin, detectado en 2024, se especializan en explotar vulnerabilidades recién publicadas en dispositivos edge ampliamente utilizados, como los VPN de Ivanti. Este grupo emplea herramientas como NerbianRAT, un troyano de acceso remoto multiplataforma, para infiltrarse en redes y desplegar malware personalizado. Su capacidad para actuar rápidamente tras la publicación de una vulnerabilidad evidencia un cambio de estrategia entre los ciberdelincuentes, cada vez más centrados en componentes críticos de infraestructura.
Los dispositivos edge se han convertido en objetivos prioritarios para los ciberdelincuentes: Lo que antes era una táctica propia de actores estatales para infiltrarse de forma encubierta, hoy es también territorio de grupos criminales que buscan beneficios económicos
Los ORBs «inteligentes», con capacidad para aplicar políticas, orquestar flujos de trabajo o preprocesar datos, son aún más atractivos. Su rol central les da visibilidad total del tráfico que circula entre los sistemas. Si caen en manos equivocadas, los atacantes pueden manipular lecturas de sensores, alterar procesos clave o pivotar hacia el núcleo de la red, todo ello sin ser detectados.
Esta tendencia no se limita al crimen organizado. Grupos patrocinados por Estados siguen operando con alto nivel de sofisticación. La campaña ArcaneDoor, dirigida a dispositivos Cisco ASA, permitió a sus atacantes infiltrarse en redes gubernamentales e industriales con fines de
espionaje prolongado. De igual forma, Pacific Rim, atribuida a actores chinos, explotó fallos en firewalls Sophos para crear redes ORB encubiertas capaces de mantener canales de comando y control (C2) indetectables durante largos periodos. Técnicas como el uso de rootkits y actualizaciones falsas les permitieron conservar el acceso sin levantar alertas.
Por otro lado, las amenazas más tradicionales como los ataques DDoS siguen activas. En 2024, Cloudflare mitigó el ataque de denegación de servicio más grande de la historia, lanzado desde miles de dispositivos edge comprometidos (routers MikroTik, servidores web, DVRs, etc.). Muchos de ellos fueron vulnerados por no haber aplicado parches básicos. Botnets como Raptor Train o Faceless utilizan infraestructuras C2 descentralizadas que se mueven entre dispositivos comprometidos para evitar la detección, lo que les permite mantener el acceso a redes críticas durante semanas o incluso meses. Algunos malwares, como TheMoon, emplean técnicas evasivas avanzadas, ejecutándose solo en memoria y cambiando de IP constantemente.
En este nuevo escenario, los dispositivos edge ya no son un componente secundario. A medida que aumentan los ataques, la necesidad de proteger estos puntos de entrada es urgente. Las organizaciones deben tomar medidas inmediatas: reforzar la autenticación, aplicar segmentación de red, realizar análisis de vulnerabilidades de forma continua y gestionar los parches sin dilación. Ignorar la seguridad en los márgenes puede abrir la puerta a ataques que lleguen hasta el corazón del negocio.
