¿Qué es una puerta trasera en el firmware? La vulnerabilidad de los routers Tenda, explicada

Un aviso de seguridad ha señalado una vulnerabilidad grave en un equipo de red doméstico común: se informa de que varias versiones del firmware de los routers Tenda contienen una puerta trasera de autenticación oculta. En términos sencillos, eso significa que existe una forma secreta de saltarse el inicio de sesión que protege el dispositivo, y entender qué implica es una lección útil sobre cómo pueden fallar las pequeñas cajas que hacen funcionar nuestro internet doméstico.
Primero, el vocabulario. El firmware es el software de bajo nivel integrado en un dispositivo físico, el código que hace funcionar un router, una cámara o una impresora. A diferencia de una aplicación que instalas, el firmware viene con el hardware y lo controla a un nivel fundamental. Cuando el firmware tiene una vulnerabilidad, todos los dispositivos que ejecutan esa versión quedan potencialmente afectados hasta que el fabricante publica una corrección y los usuarios la aplican.
Una puerta trasera de autenticación es una categoría de vulnerabilidad concreta y grave. La autenticación es el proceso de demostrar que tienes permiso para entrar, normalmente introduciendo un usuario y una contraseña. Una puerta trasera es un mecanismo oculto que evita por completo esa comprobación, una llave secreta que abre la puerta sin las credenciales normales. Colocada de forma deliberada o dejada por error, su efecto es el mismo: un atacante que la conozca puede obtener acceso como si tuviera la contraseña.
Los routers domésticos son un objetivo especialmente valioso por una razón fácil de pasar por alto. El router es la puerta de enlace por la que fluye todo el tráfico de internet de un hogar, y casi siempre está encendido. Un atacante que controle el router se sitúa entre cada dispositivo de la red e internet en general, una posición que le permite vigilar el tráfico, redirigir las conexiones a sitios maliciosos o usar el dispositivo como base para alcanzar los ordenadores y teléfonos que hay detrás.
También está el problema de las botnets. Los routers comprometidos son reclutados con frecuencia en botnets, grandes redes de dispositivos secuestrados usadas para lanzar ataques o enviar spam. Como los routers son numerosos, están siempre en línea y a menudo mal mantenidos, son reclutas ideales. Una sola puerta trasera de firmware en muchos dispositivos puede entregar a un atacante un ejército ya listo con poco esfuerzo.
Lo que hace especialmente tercas las vulnerabilidades de router es lo poco que se actualizan. La mayoría de la gente configura un router una vez y no vuelve a tocarlo, a diferencia de un teléfono que insiste con las actualizaciones. Existen correcciones de firmware para muchas vulnerabilidades conocidas, pero solo ayudan si se instalan, y una gran parte de los routers domésticos ejecutan software obsoleto durante años, dejando agujeros conocidos abiertos mucho después de que haya un parche disponible.
El hecho de informar de esta vulnerabilidad a través de un aviso de seguridad formal es en sí parte de cómo se supone que funciona el sistema. La divulgación coordinada, en la que los investigadores informan de vulnerabilidades para que los fabricantes preparen correcciones antes de que los detalles se hagan públicos, es el mecanismo diseñado para lograr que los problemas se parcheen. Un aviso publicado es una señal para los usuarios afectados de que puede hacer falta actuar, no un motivo para el pánico.
Para cualquiera que tenga un router, esto es un aviso para dar unos pasos prácticos que valen sea cual sea la marca. Consulta el sitio del fabricante en busca de actualizaciones de firmware e instala la última versión. Cambia las contraseñas de administrador por defecto, ampliamente conocidas y un punto de entrada habitual. Desactiva la administración remota salvo que la necesites específicamente, ya que expone los controles del router a internet.
Unos cuantos hábitos más fortalecen aún la red. Desactiva funciones antiguas e inseguras que no uses, mantén la contraseña de wifi fuerte y única, y considera reemplazar un router que ya no recibe actualizaciones de seguridad de su fabricante, porque un dispositivo sin soporte acumulará fallos sin parchear con el tiempo. El hardware que ha llegado al final de su vida de soporte es un pasivo creciente, no una ganga.
La lección más amplia va mucho más allá de una marca. A medida que los hogares se llenan de dispositivos conectados, de routers a cámaras y electrodomésticos, cada uno ejecuta firmware que puede contener fallos, y cada uno es un posible punto de entrada. Tratar el humilde router como infraestructura crítica, digna de actualizarse y asegurarse como cualquier otro ordenador, es la respuesta práctica a una clase de problema que no hace más que volverse más común.
Para seguir leyendo

DeepSeek planea fabricar sus propios chips de IA mientras se endurecen los controles de exportación de EE. UU.
La china DeepSeek planea desarrollar sus propios chips de IA para reducir su dependencia de Nvidia y Huawei, una respuesta a los controles de exportación de EE. UU. que restringen el acceso a los procesadores más avanzados. Esto es por qué el movimiento importa para la carrera global de la IA y lo difícil que será.

Muse Image de Meta: el nuevo modelo de IA que puede incluir a usuarios de Instagram en fotos generadas
Meta ha lanzado Muse Image, su primer modelo de generación de imágenes de sus Superintelligence Labs, que ahora impulsa las herramientas de fotos con IA en Instagram, WhatsApp y la app de Meta AI. Los usuarios protestaron por una función que puede incluir a otras personas en imágenes de IA. Esto es lo que hace y por qué preocupa.

IA de código abierto frente a laboratorios propietarios: por qué uno no está matando al otro
Se esperaba que el rápido ascenso de los modelos de IA de código abierto erosionara el negocio de los laboratorios cerrados de vanguardia, pero hasta ahora no ha sido así. Esto es en qué se diferencian realmente la IA abierta y la propietaria y por qué podrían servir a dos fases del mismo ciclo.

Los peores hackeos y filtraciones de datos de 2026 hasta ahora, y qué revelan
Desde una filtración masiva de datos gubernamentales hasta intrusiones en sistemas críticos de energía y agua y una herramienta de vigilancia del FBI, los ciberataques más dañinos de 2026 comparten hilos comunes. Aquí un repaso de los mayores incidentes y las lecciones de seguridad que encierran.

Cómo secuenciar tu propio ADN en casa: qué puede y qué no puede hacer la tecnología
Secuenciar tu propio ADN en casa era antes impensable, pero los secuenciadores portátiles asequibles lo han puesto al alcance de los aficionados. Este texto explica cómo funciona la secuenciación de ADN casera, qué puede revelar y sus límites reales.