Ciberespionaje Global: EE. UU. y aliados desmantelan red de la inteligencia rusa que secuestraba enrutadores

El FBI, junto con la NSA y agencias de inteligencia de 16 países (incluyendo Canadá, Alemania y Ucrania), ha emitido una alerta urgente tras desmantelar una red de la GRU rusa (Unidad 26165 o APT28). Los agentes rusos estaban explotando enrutadores de pequeñas oficinas y hogares (SOHO) para interceptar información confidencial mediante técnicas de secuestro de DNS.

¿Cómo operaba la red «Fancy Bear»?

Desde 2024, el grupo Forest Blizzard (APT28) ha utilizado vulnerabilidades críticas para tomar el control de la infraestructura digital desde las sombras:

• Vulnerabilidad Explotada: Los atacantes se centraron en dispositivos como los routers TP-Link a través del fallo CVE-2023-50224, modificando la configuración de los servidores DNS.
• Ataques de Intermediario (AitM): Al controlar el DNS, la GRU redirigía el tráfico de servicios como Microsoft Outlook Web Access hacia servidores fraudulentos. Esto les permitía capturar contraseñas, tokens de autenticación y correos electrónicos, incluso aquellos protegidos por cifrado SSL/TLS.
• Objetivo Estratégico: Aunque el compromiso inicial era indiscriminado, la inteligencia rusa filtraba los datos para extraer información específica sobre infraestructura crítica, gobiernos y movimientos militares.

Recomendaciones de Seguridad Urgentes

Ante la sofisticación de estos ataques «AitM», las agencias de ciberseguridad instan a la población y a las organizaciones a tomar medidas inmediatas:

1. Actualización de Hardware: Sustituir dispositivos que ya no cuentan con soporte del fabricante (End-of-life).
2. Higiene Digital: Cambiar credenciales predeterminadas y actualizar el firmware a la última versión disponible.
3. Gestión Remota: Deshabilitar interfaces de administración remota accesibles desde Internet.
4. Advertencias de Certificado: No ignorar bajo ninguna circunstancia los errores de certificado en navegadores o clientes de correo; estos son la primera señal de que el tráfico está siendo interceptado.

Las organizaciones que mantienen esquemas de trabajo remoto deben reforzar el uso de VPN y revisar las políticas de acceso a datos sensibles desde redes domésticas, que ahora son el eslabón más débil en la cadena de seguridad nacional.