Can a hacked router infect your devices with malware?

Yes. A hacked router can swap legitimate downloads for malicious files, push fake update prompts that install malware, or inject harmful code into websites you visit. Once one device is infected, it can spread to others. Antivirus software on every phone and laptop blocks most of these attacks.

Can hackers use your router for illegal activity?

Yes. A hacked router can be used to send spam, attack other websites, or hide a criminal's identity behind your internet connection. Because the traffic comes from your IP address, any investigations land on you, not the attacker.

How often should you check your router for security issues?

Check your router monthly. Log into the admin panel, scan the connected device list, verify DNS settings match your provider, and apply any pending firmware updates. Households handling sensitive data or recovering from a past account takeover should check every two weeks.

Can a router hack bypass two-factor authentication (2FA)?

Sometimes. If attackers redirect you to a fake login page, they may capture both your password and one-time verification code. Two-factor authentication still adds strong protection, but it works best alongside a secure network.

12 Segni che il router è stato manomesso e cosa fare dopo

Router Wi-Fi con crack causati da manomissione

La maggior parte dei router domestici rimane invariata per anni, motivo per cui gli aggressori li prendono di mira. Un router compromesso può mettere a rischio tutti i dispositivi della rete, senza dover violare direttamente un telefono o un laptop.

Poiché il router è posizionato tra i tuoi dispositivi e Internet, un utente con accesso potrebbe essere in grado di monitorare il traffico, reindirizzarti a siti Web falsi o interferire con la connessione senza evidenti segnali di pericolo.

L'individuazione precoce di comportamenti sospetti può aiutare a riprendere il controllo più velocemente e ridurre il rischio di furto di password, reindirizzamenti dannosi o altri problemi nella rete.

Cosa c'è da sapere

Un router manomesso può interessare tutti i dispositivi della rete Wi-Fi, inclusi telefoni, laptop, smart TV e dispositivi per la casa connessi.
Diversi segnali di avvertimento possono indicare un router compromesso e questo articolo illustra 12 tra i più utili da controllare.
Internet lento da solo non significa che il tuo router sia stato manomesso. Segnale debole, congestione della rete o problemi con l'ISP possono avere un aspetto simile.
Se si sospetta un attacco hacker, disconnettere il router e seguire i passaggi per il ripristino in ordine prima di riconnettersi a Internet.
Password deboli, firmware obsoleto e impostazioni non sicure sono tra i motivi più comuni per cui i router domestici vengono compromessi.
Se il router non riceve più aggiornamenti della protezione, sostituirlo potrebbe essere l'opzione più sicura a lungo termine.

12 segnali che il router è stato manomesso

Un router compromesso può presentarsi in diversi modi, da un comportamento insolito della rete alla modifica delle impostazioni senza l'intervento dell'utente. I seguenti segnali di avviso possono aiutare a distinguere tra un normale problema del Wi-Fi e qualcosa che potrebbe richiedere attenzione immediata

1. Internet insolitamente lento

I cali di velocità si verificano per vari motivi, ma un rallentamento prolungato su tutti i dispositivi, anche nelle ore non di punta con utilizzo leggero, necessita di indagine. I router dirottati instradano il traffico attraverso hop aggiuntivi o eseguono processi in background che utilizzano molta larghezza di banda. Se anche il test della velocità di una connessione cablata è lento, il problema è a monte dei dispositivi.

2. Picchi inspiegabili di utilizzo dei dati

Alcuni provider di servizi Internet inviano avvisi quando i dati mensili aumentano in modo insolitamente rapido. Un picco durante una settimana tranquilla, quando nessuno è in grado di eseguire lo streaming o il backup dei file, di solito indica il traffico in background generato dal router stesso o da un dispositivo della rete che invia i dati.

3. Attività del router quando inattivo

Le spie di stato che lampeggiano continuamente quando tutti i dispositivi connessi vengono spenti o quando l'involucro del router che funziona in modo insolitamente caldo alle 3 del mattino deve essere controllato. I router in genere mostrano un'attività limitata quando non sono in uso dispositivi, quindi può valere la pena controllare l'attività costante.

4. Dispositivi sconosciuti nella rete

Aprire il pannello di amministrazione e guardare l'elenco dei dispositivi connessi. Se il conteggio totale è aumentato dall'ultimo controllo o se si rileva una connessione che non si riesce a spiegare (un nome generico come "android-1f4b" o un fornitore non riconoscibile), eseguire le indagini. Ogni dispositivo connesso dispone di un indirizzo MAC e di un indirizzo IP assegnati dal router. Eseguire un controllo incrociato con telefoni, laptop, lampadine smart e TV di proprietà.

5. L'accesso al router non funziona

Se la password amministratore impostata l'anno scorso non riesce all'improvviso e nessun membro del nucleo familiare l'ha modificata, l'autorizzazione è stata revocata. Gli utenti malintenzionati in genere modificano le credenziali di amministratore dopo aver ottenuto l'accesso per bloccare il legittimo proprietario lontano dalle impostazioni necessarie per rimuoverli.

6. Nome della rete Wi-Fi ( SSID ) modificato

La rete ha un nome specifico che non dovrebbe cambiare improvvisamente. Se il nome della rete ora ha una lettura diversa o se accanto ad esso è apparso un clone quasi identico, è possibile che sia stato modificato da un hacker. Una rete rinominata in genere significa che un utente con accesso come amministratore ha apportato la modifica o che è stata configurata una rete parallela per indurre i dispositivi a connettersi automaticamente.

7. La password Wi-Fi non funziona più

Telefoni e laptop che si sono connessi correttamente ieri rifiutano improvvisamente la password Wi-Fi salvata e continuano a richiedere la riautenticazione. Due sono le cause comuni: un utente malintenzionato ha ruotato la password per bloccare l'accesso o lo standard di criptaggio è stato downgrade da WPA3 a WPA2 o inferiore, il che interrompe i profili salvati meno recenti.

8. Impostazioni del router modificate

Aprire il pannello delle impostazioni e cercare le modifiche non apportate. Cercare la gestione remota attivata, il port forwarding che prima non esisteva o le regole del firewall che sono state semplificate e gli account amministratore che non riconosci.

9. Impostazioni DNS sospette

Le voci del Domain Name System devono corrispondere al provider o a un servizio noto come 1.1.1.1 o 8.8.8.8. Se si sono spostati senza che nessuno del nucleo familiare abbia toccato la configurazione o se vengono visualizzati indirizzi IP casuali che puntano a server in paesi a cui non ci si è connessi, quella è una bandiera rossa. Il dirottamento DNS consente agli utenti malintenzionati di reindirizzare il traffico dalla banca verso un clone di phishing, ma la barra degli URL sembrerà giusta.

10. Reindirizzamenti del browser

Si digita un indirizzo familiare e viene caricata una pagina diversa. Gli URL possono sembrare quasi identici, con una lettera scambiata o un dominio di primo livello insolito. I reindirizzamenti vengono eseguiti tra browser e dispositivi, poiché la manipolazione è a livello di router, non di endpoint.

11. Pop-up frequenti o falsi avvisi di sicurezza

I pop-up che avvertono di infezioni malware su siti di notizie legittimi o le finestre del browser che richiedono l'installazione del software o di un falso "aggiornamento di sistema" sono spesso injection a livello di router. Il router, o un server DNS dannoso a cui punta, sta riscrivendo ciò che il browser riceve.

12. Messaggi di ransomware

Alcuni hack del router rilasciano note ransomware direttamente nel browser chiedendo un pagamento per ripristinare l'accesso o minacciando di fugare i dati strappati dal traffico di rete. Non pagare nulla. Disconnettersi, documentare il messaggio e considerare il router come completamente compromesso. Panoramica di 12 segnali di avvertimento di un router manomesso, inclusi Internet lenta, problemi di accesso, modifiche DNS e reindirizzamenti del browser

Il router è compromesso o Internet è solo lento?

È probabile che il router non venga manomesso se il rallentamento interessa un solo dispositivo, si verifica in linea con un'interruzione nota dell'ISP o si azzera dopo uno spegnimento e riaccensione.

Prendere in considerazione un possibile attacco quando più dispositivi rallentano contemporaneamente, nella rete compaiono dispositivi sconosciuti o le impostazioni sono state modificate senza l'input dell'utente. Un gruppo di sintomi è un segnale più affidabile di qualsiasi singolo segnale isolato.

Cause comuni di Internet lento o instabile

I segnali Wi-Fi si indeboliscono attraverso i muri, in particolare con mattoni o intonaco più vecchi. La congestione del canale in densi condomini è un altro tipico sospetto, in cui si hanno dozzine di reti nelle vicinanze in lotta per le stesse onde radio. Controllare il carico del dispositivo poiché dieci gadget per la casa intelligente, due TV in streaming e qualcuno che esegue il backup di un telefono tramite Wi-Fi limitano rapidamente un router economico.

Infine, verificare la presenza di interruzioni e throttling lato ISP. Un rapido controllo della pagina di stato del provider o dei rapporti dei social media relativi alla propria area consente di segnalare eventuali problemi noti.

Verifiche rapide per escludere un attacco

Prima di presumere il peggio, esaminare l'elenco di seguito. In meno di cinque minuti e senza strumenti specializzati, ecco come verificare se il Wi-Fi è manomesso:

Spegnere e riaccendere il router. Staccare la spina, attendere sessanta secondi, quindi ricollegarla.
Eseguire il confronto tra i dispositivi. Se un solo telefono è lento, è probabile che il router non sia compromesso.
Eseguire un test della velocità su una connessione Ethernet cablata per isolare il Wi-Fi dalla linea.
Controllare la pagina di stato dell'ISP o chiamare l'assistenza.
Esaminare l'elenco dei dispositivi connessi per eventuali elementi sconosciuti.

In che modo i router vengono hackerati?

I router vengono per lo più hackerati a causa di password di amministrazione deboli o predefinite, firmware obsoleto con vulnerabilità senza patch e impostazioni rischiose come WPS, UPnP o la gestione remota abilitate.

Modi comuni con cui un router viene hackerato, inclusi password deboli, firmware obsoleto e impostazioni non sicure

L'hacking del router non è in genere un attacco mirato. La maggior parte delle compromissioni domestiche proviene da scansioni automatiche di grandi dimensioni la cui esecuzione è quasi nulla per l'utente malintenzionato.

Password deboli o predefinite

Le credenziali di amministratore predefinite sono di dominio pubblico. I produttori li elencano nei manuali e gli utenti malintenzionati mantengono database in cui è possibile eseguire ricerche. Combinato con strumenti di scansione automatizzati, questo porta a un gran numero di compromissioni del router. Le password riutilizzate esposte in passate violazioni dei dati sono un altro punto di ingresso principale.

Firmware obsoleto

Le patch del firmware chiudono le vulnerabilità note e i router spesso impiegano anni tra gli aggiornamenti perché nessuno apre il pannello di amministrazione. Una vulnerabilità divulgata nel 2023 è ancora sfruttabile nel 2026 se il router non ha mai ricevuto la patch.

Impostazioni del router non sicure

Diverse impostazioni vengono fornite abilitate per impostazione predefinita e riducono la sicurezza del router. Wi-Fi Protected Setup (WPS) può essere sottoposto a forza bruta in poche ore. Universal Plug and Play (UPnP) consente a qualsiasi dispositivo della rete di aprire le porte del firewall senza chiedere conferma. La gestione remota sposta il pannello di amministrazione nella rete Internet pubblica, dove gli scanner automatici lo trovano in pochi minuti.

Quando queste impostazioni vengono esposte o utilizzate in modo improprio, possono facilitare l'accesso al router dall'interno o dall'esterno della rete.

Cosa dovresti fare se il tuo router è manomesso?

Se pensi che il tuo router sia stato manomesso, niente panico. La cosa più importante è agire nell'ordine giusto. Il passaggio diretto a correzioni casuali può rendere più difficile la risoluzione dei problemi o lasciare esposte parti della rete.

Seguire i passaggi di seguito per riprendere il controllo del router e proteggere la rete in modo sicuro.

Passaggio 1: disconnettere il router

Scollegare il cavo WAN, quello che va dal modem o dalla presa a muro. Questo interrompe istantaneamente il traffico in uscita. Se il dispositivo è un modem-router combinato, disconnettere la connessione a Internet e lasciare il router acceso per il momento, in modo da poter comunque accedere.

Passaggio 2: ripristinare le impostazioni di fabbrica del router

Tenere premuto il pulsante di ripristino incassato (eventualmente utilizzando una graffetta) per dieci-trenta secondi, a seconda del modello. Le impostazioni predefinite tornano, le modifiche non autorizzate vengono cancellate e l'unità si riavvia. La password Wi-Fi e il SSID verranno reimpostati e tutti i dispositivi dell'abitazione dovranno essere riconnessi.

Passaggio 3: riottenere l'accesso al router

Aprire un browser e immettere l'indirizzo IP predefinito del router (in genere 192.168.0.1 o 192.168.1.1, a volte 10.0.0.1 per i gateway via cavo). L'indirizzo IP del router è disponibile sull'adesivo che elenca le credenziali di amministratore predefinite, in genere sulla base del router.

Accedere con le credenziali di amministratore predefinite del produttore, in genere stampate su un adesivo sul lato inferiore. Modificare immediatamente la password amministratore e la password Wi-Fi. Impostare l'SSID su un valore univoco che non include l'indirizzo o il cognome.

Tre passaggi per il ripristino da un router compromesso: disconnettersi, ripristinare le impostazioni di fabbrica e riottenere l'accesso

In che modo è possibile impedire che il router venga manomesso nuovamente?

Impostare una password amministratore univoca complessa, passare al criptaggio WPA3 , disabilitare WPS, UPnP e la gestione remota, abilitare gli aggiornamenti automatici del firmware e modificare l'SSID con un valore neutro. Installare il software di protezione in ogni laptop e telefono connesso, poiché le impostazioni del router non possono bloccare le minacce contenute nelle e-mail o nei download.

Una suite di protezione come Kaspersky Premium aggiunge un livello di protezione della rete e a livello di dispositivo che rileva ciò che non viene rilevato nelle impostazioni del router.

Proteggi la tua rete domestica

Kaspersky Premium esegue la scansione dei dispositivi connessi, segnala le impostazioni Wi-Fi deboli e blocca i siti dannosi che sfruttano le vulnerabilità del router. Protezione per tutta la famiglia, in un'unica app.

Ottieni Kaspersky Premium

Proteggi le impostazioni del router

Impostare una password amministratore complessa e univoca. Minimo dodici caratteri.
Utilizzare il criptaggio WPA3 dove supportato, WPA2-AES in caso contrario. Evita WEP e il deprecato TKIP.
Disabilitare WPS, UPnP e la gestione remota.
Modificare l'SSID con qualcosa di neutro.
Abilitare il firewall integrato nel router e le eventuali funzionalità predefinite per la mitigazione degli attacchi offerte dal modello.

Mantenere aggiornato il router

Gli aggiornamenti del firmware sono la singola azione di protezione di più alto valore disponibile per un utente privato. Controllare il pannello di amministrazione mensilmente. Attivare gli aggiornamenti automatici se il modello li supporta. Se il produttore ha smesso di rilasciare le patch, il router ha raggiunto il termine del ciclo di vita. È una vulnerabilità permanente presente nella rete e dovrebbe essere sostituita.

Proteggi dispositivi e rete

Esegui scansioni malware periodiche su ogni laptop, telefono e tablet che entra in contatto con la rete. Un router pulito non può impedire da solo a un dispositivo compromesso la fuga di dati.

I dispositivi mobili sono facili da ignorare. I revisori di G2 verificati mettono in evidenza l'"efficace rilevamento dei malware" di Kaspersky e la protezione in tempo reale per file e siti Web, motivo per cui l'associazione del router a Kaspersky Mobile Security aggiunge un importante livello di protezione. Utilizzare una rete ospite per i visitatori e i gadget IoT in modo che non possano raggiungere i dispositivi primari.

Cosa possono fare gli utenti malintenzionati con un router compromesso?

Un router compromesso offre agli utenti malintenzionati una posizione tra ogni dispositivo della rete e Internet. Da lì possono aggiungere il router a una botnet, raccogliere credenziali e dati di navigazione o reindirizzare il traffico ai siti di phishing.

Dati a rischio

La cronologia di navigazione (quali siti vengono visitati, quando e con quale frequenza) trapela anche quando le singole pagine sono criptate. I tentativi di accesso ai siti senza HTTPS espongono direttamente le credenziali. Protocolli precedenti, dispositivi IoT precedenti e qualsiasi connessione non protetta possono trasferire contenuto e metadati.

Modalità di utilizzo dei router dirottati da parte degli utenti malintenzionati

La maggior parte dei router dirottati viene aggiunta alle botnet che instradano lo spam, estraggono criptovalute o avviano attacchi denial-of-service contro altri obiettivi. Altri restano in ascolto delle attività domestiche, reindirizzando il traffico bancario ai cloni di phishing o inviando malware ai dispositivi connessi. I dati sulle minacce IoT del secondo trimestre 2025 di Kaspersky mostrano che le varianti Mirai e la botnet NyaDrop rappresentano la quota maggiore di infezioni dei router domestici.

Cosa fare dopo una potenziale violazione dei dati

Modificare le password degli account critici (e-mail, banca, social principale) da un dispositivo pulito, non quello utilizzato tramite il router compromesso.
Attivare l'autenticazione a due fattori ovunque venga offerta. Se non è disponibile, utilizzare la verifica tramite SMS o un'app di autenticazione.
Visualizzare i rendiconti finanziari e la cronologia degli accessi tramite e-mail per i prossimi 90 giorni. Verificare se le credenziali emergono nel Dark Web tramite un servizio di monitoraggio affidabile .
Utilizzare un VPN nei dispositivi interessati in futuro.
Informare la banca se per qualsiasi motivo si sospetta l'esposizione di dati finanziari a contrassegnare il conto in modo proattivo.

È necessario sostituire il router dopo un attacco?

Non sempre i router devono essere sostituiti dopo un attacco. Un ripristino delle impostazioni di fabbrica e la modifica della password risolvono la maggior parte degli attacchi. Sostituire il router se gli aggiornamenti del firmware si sono arrestati, i problemi si ripresentano dopo un ripristino completo o se il dispositivo ha più di cinque anni senza il supporto WPA3.

Articoli correlati:

Prodotti correlati:

FAQ

Un router violato può infettare i dispositivi con malware?

Sì. Un router compromesso può scambiare download legittimi con file dannosi, inviare richieste di aggiornamento false che installano malware o iniettare codice dannoso nei siti Web visitati. Una volta che un dispositivo viene infettato, può diffondersi ad altri. Il software antivirus in ogni telefono e laptop blocca la maggior parte di questi attacchi.

Gli hacker possono utilizzare il router per attività illegali?

Sì. Un router compromesso può essere utilizzato per inviare spam, attaccare altri siti Web o nascondere l'identità di un criminale dietro la connessione Internet. Poiché il traffico proviene dall'indirizzo IP, tutte le indagini riguardano l'utente, non l'utente malintenzionato.

Con quale frequenza controllare il router per verificare la presenza di problemi di sicurezza?

Controllare il router mensilmente. Accedere al pannello di amministrazione, eseguire la scansione dell'elenco dei dispositivi connessi, verificare che le impostazioni DNS corrispondano al provider e applicare eventuali aggiornamenti del firmware in sospeso. Le famiglie che gestiscono dati sensibili o si stanno riprendendo da un'acquisizione di account passata devono eseguire un controllo ogni due settimane.

Un hack del router può ignorare l'autenticazione a due fattori (2FA)?

A volte. Se gli utenti malintenzionati reindirizzano a una pagina di accesso falsa, possono acquisire sia la password che il codice di verifica monouso. L'autenticazione a due fattori aggiunge comunque una protezione avanzata, ma funziona al meglio insieme a una rete protetta.