Red de espionaje rusa neutralizada: Miles de routers comprometidos en Estados Unidos

En un golpe significativo contra la ciberdelincuencia, el Departamento de Justicia de Estados Unidos y el FBI han neutralizado una red de espionaje rusa que había comprometido miles de routers domésticos en al menos 23 estados del país. La operación, ejecutada el martes, fue dirigida contra la Unidad Militar 26165 del Servicio de Inteligencia Militar ruso, también conocida como GRU, que había estado utilizando estos dispositivos como plataforma encubierta para robar credenciales de acceso de objetivos en los ámbitos militar, gubernamental y de infraestructuras críticas en todo el mundo.

La campaña de espionaje, que había estado activa desde al menos 2024, utilizaba un método sofisticado pero difícil de detectar. Los routers, que son los dispositivos que distribuyen la conexión a internet en un hogar u oficina, fueron manipulados por los agentes del GRU para que, en lugar de dirigir a los usuarios a los sitios web reales, los enviasen a servidores falsos bajo control ruso. Desde allí, los agentes interceptaban contraseñas, credenciales de acceso y correos electrónicos sin que las víctimas lo advirtieran.

El ataque seguía una lógica de embudo, comenzando con una fase masiva en la que se comprometían el mayor número posible de routers mediante vulnerabilidades conocidas en modelos de la marca TP-Link. Luego, se aplicaban filtros automáticos para identificar qué conexiones correspondían a objetivos de interés. Solo entonces se activaba la interceptación activa, suplantando servicios como el correo corporativo de Microsoft para capturar las credenciales de los usuarios seleccionados.

La colaboración entre el FBI y Microsoft permitió identificar más de 200 organizaciones y 5.000 dispositivos afectados por la red de espionaje. Lumen Technologies, a través de su división Black Lotus Labs, precisó que los objetivos principales eran agencias gubernamentales, ministerios de asuntos exteriores y organismos de seguridad. El análisis detectó víctimas en Estados Unidos, Europa, Afganistán, norte de África, América Central y el sudeste asiático.

La Unidad Militar 26165, conocida bajo múltiples alias como APT28, Fancy Bear, Forest Blizzard o Sofacy, ha sido objeto de atención en el pasado. Fue imputada formalmente en 2018 por intrusiones que incluyeron el hackeo al Comité Nacional Demócrata durante la campaña presidencial de 2016 y la infiltración en el Parlamento alemán en 2015. Además, el año pasado, más de 20 agencias de inteligencia occidentales la señalaron por comprometer empresas de logística vinculadas al suministro de ayuda militar a Ucrania.

Brett Leatherman, subdirector de la División Cibernética del FBI, advirtió que sin la intervención, el GRU habría continuado sustrayendo información sensible. “El programa cibernético de Rusia es una amenaza permanente”, señaló. La operación, conocida como Masquerade, contó con socios en 15 países, lo que subraya la dimensión transnacional de la amenaza.

El Centro Nacional de Ciberseguridad del Reino Unido, dependiente de la agencia GCHQ, y Alemania emitieron alertas coordinadas el mismo martes. La agencia británica describió la fase inicial como oportunista, donde los hackers lanzaban primero una red amplia y seleccionaban luego, de forma automatizada, los objetivos de valor para Moscú.

La neutralización de esta red de espionaje rusa es un paso importante en la lucha contra la ciberdelincuencia y la protección de la seguridad nacional. Sin embargo, también sirve como recordatorio de la constante amenaza que plantean los actores estatales y no estatales en el ciberespacio, y de la necesidad de mantener una vigilancia y cooperación internacionales para contrarrestar estas amenazas.

Explora más noticias en nuestra sección: Mundo