Estados Unidos se sumó a la alarma internacional por el hackeo de routers: la NSA atribuye los ataques a Rusia

0
91

La agencia publicó este lunes una guía conjunta con 17 organismos aliados para proteger infraestructuras críticas del Centro 16 del FSB, la misma unidad que el Reino Unido y la UE acaban de sancionar por el intento de sabotaje a la red eléctrica de Polonia

INFOBAE.-La Agencia de Seguridad Nacional de Estados Unidos (NSA) emitió este lunes una alerta en la que atribuye al Centro 16 del Servicio Federal de Seguridad ruso (FSB) una campaña sistemática de intrusión en routers y otros dispositivos de red con configuraciones con poca seguridad o desactualizadas. El aviso, elaborado junto a 17 organismos de ciberseguridad de otros 11 países, identifica los sectores más expuestos —defensa, energía, comunicaciones, finanzas, instalaciones gubernamentales y salud— y urge a los operadores a aplicar medidas para cerrar las vías de acceso que los hackers rusos han venido aprovechando durante más de una década.

La advertencia de Washington no llega de forma aislada. Horas antes, el National Cyber Security Centre (NCSC) del Reino Unido, dependiente del cuartel general de inteligencia de señales GCHQ, había publicado una guía paralela con idéntico foco: el Centro 16 actúa de forma oportunista contra redes estratégicas en todo el mundo, y los fallos de configuración básica en los dispositivos de red siguen siendo su principal vía de entrada. La publicación coordinada de ambos avisos coincidió con el anuncio de las primeras sanciones conjuntas entre Londres y Bruselas contra miembros de esa unidad del FSB desde el Brexit. El detonante fue el ataque del 29 de diciembre de 2025 contra la red eléctrica de Polonia, atribuido formalmente al Centro 16, que habría podido dejar sin suministro a 500.000 ciudadanos en pleno invierno. El malware empleado fue DynoWiper, una herramienta destructiva asociada históricamente a operaciones del Estado ruso. La operación fracasó, pero por escaso margen.

El mecanismo técnico que describe el aviso es revelador. El Centro 16 rastrea internet en busca de routers que aún utilizan contraseñas predeterminadas o cadenas comunitarias inseguras del protocolo SNMP —claves como “public” o “private” que los fabricantes incluyen por defecto y que muchos administradores nunca cambian—. Una vez identificado un dispositivo vulnerable, los operativos emiten comandos SNMP para copiar su archivo de configuración y lo redirigen, mediante el protocolo de transferencia TFTP, a servidores bajo su control. Ese archivo contiene, en la práctica, un mapa completo de la red: tablas de enrutamiento, reglas de cortafuegos, credenciales almacenadas y arquitectura de subredes. Para una operación de inteligencia que busca comprender el interior de una red sin disparar las alarmas de detección de intrusos, ese documento es, según el aviso, más valioso que la mayor parte del malware convencional.

FOTO DE ARCHIVO: Un hombre sostiene una computadora portátil mientras se proyecta código cibernético sobre ella en esta ilustración tomada el 13 de mayo de 2017
REUTERS/Kacper Pempel/Ilustración/Foto de archivo

La NSA y sus socios —entre los que figuran la Agencia de Ciberseguridad e Infraestructura (CISA), el FBI y organismos de Australia, Canadá, Nueva Zelanda, República Checa, Dinamarca, Estonia, Finlandia, Francia, Italia, Polonia y Suecia— señalan que el grupo, conocido también como Berserk BearEnergetic BearDragonfly Static Tundra, lleva activo desde al menos la primera mitad de la década de 2010. Además del protocolo SNMP, ha explotado vulnerabilidades conocidas en la función Cisco Smart Install y en portales web de administración de dispositivos. Desde agosto de 2025, el FBI ya había documentado la recopilación de configuraciones de miles de equipos asociados a entidades estadounidenses de infraestructura crítica. El aviso de este lunes amplía ese diagnóstico con nuevas tácticas y añade un detalle significativo: las técnicas del Centro 16 se solapan en parte con las del actor vinculado a China conocido como Salt Typhoon, lo que sugiere que las debilidades explotadas por Moscú son las mismas que aprovechan otros servicios de inteligencia extranjeros.

Las medidas recomendadas son técnicamente accesibles: adoptar la versión 3 del protocolo SNMP —la única con cifrado y autenticación robusta—, desactivar la función Cisco Smart Install, establecer contraseñas únicas y fuertes en cada dispositivo de red, bloquear los protocolos TFTP y SMI en el cortafuegos, y mantener el firmware actualizado.

La cadencia de incidentes atribuidos a Rusia contra infraestructuras europeas se ha acelerado en los últimos meses. Suecia informó en abril de 2026 de que un grupo vinculado al FSB había atacado una planta de calefacción urbana. Francia atribuyó al mismo entorno operativo intrusiones contra sistemas ministeriales en 2014 y contra un instituto de investigación vinculado a la industria de defensa en febrero de 2025. El Kremlin ha negado de forma sistemática cualquier implicación. La coordinación entre 18 agencias de 12 países para publicar simultáneamente una guía técnica, imponer sanciones y atribuir formalmente un ataque concreto representa la respuesta occidental más amplia hasta la fecha, aunque el historial del Centro 16 —más de una década de operaciones sostenidas sin consecuencias apreciables— plantea dudas razonables sobre su capacidad disuasoria real.

Compartir en:

Leave a reply