{"id":492,"date":"2026-04-07T23:57:46","date_gmt":"2026-04-07T23:57:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/07\/los-federales-anulan-una-extensa-red-de-espionaje-respaldada-por-rusia-que-abarca-18-000-dispositivos\/"},"modified":"2026-04-07T23:57:46","modified_gmt":"2026-04-07T23:57:46","slug":"los-federales-anulan-una-extensa-red-de-espionaje-respaldada-por-rusia-que-abarca-18-000-dispositivos","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/07\/los-federales-anulan-una-extensa-red-de-espionaje-respaldada-por-rusia-que-abarca-18-000-dispositivos\/","title":{"rendered":"Los federales anulan una extensa red de espionaje respaldada por Rusia que abarca 18.000 dispositivos"},"content":{"rendered":"
\n

Atacantes patrocinados por el Estado ruso comprometieron m\u00e1s de 18.000 enrutadores repartidos en m\u00e1s de 120 pa\u00edses para obtener un acceso m\u00e1s profundo a redes sensibles para una campa\u00f1a de espionaje a gran escala antes de que fuera neutralizada recientemente, dijeron investigadores y autoridades el martes.<\/p>\n

Forest Blizzard, tambi\u00e9n conocido como APT28 y Fancy Bear, aprovech\u00f3 vulnerabilidades conocidas para robar credenciales de miles de enrutadores TP-Link<\/a> globalmente. El grupo de amenazas, que se atribuye a la Unidad Militar 26165 de la Direcci\u00f3n Principal de Inteligencia del Estado Mayor General (GRU) de Rusia, secuestr\u00f3 la configuraci\u00f3n del sistema de nombres de dominio y rob\u00f3 credenciales y tokens adicionales a trav\u00e9s del tr\u00e1fico redirigido, dijo el Departamento de Justicia.<\/p>\n

El grupo de amenazas estableci\u00f3 una extensa red de espionaje mediante sistemas intrusos de m\u00e1s de 200 organizaciones<\/a>afectando al menos a 5.000 dispositivos de consumo, dijo Microsoft Threat Intelligence en un informe. <\/p>\n

Operaci\u00f3n Mascarada, una operaci\u00f3n de derribo colaborativa dirigida por el FBI, con la ayuda de fiscales federales, la secci\u00f3n Cibern\u00e9tica de Seguridad Nacional de la Divisi\u00f3n de Seguridad Nacional, Laboratorios del Loto Negro de Lumen<\/a> y Microsoft Threat Intelligence, implic\u00f3 una serie de comandos dise\u00f1ados para restablecer la configuraci\u00f3n de DNS y evitar que el grupo de amenazas explote a\u00fan m\u00e1s su medio de acceso inicial. <\/p>\n

\u00abLos actores del GRU comprometieron enrutadores en Estados Unidos y en todo el mundo, secuestr\u00e1ndolos para realizar espionaje. Dada la escala de esta amenaza, hacer sonar la alarma no fue suficiente\u00bb, dijo en un comunicado Brett Leatherman, subdirector de la divisi\u00f3n cibern\u00e9tica del FBI. \u00abEl FBI llev\u00f3 a cabo una operaci\u00f3n autorizada por el tribunal para reforzar los enrutadores comprometidos en todo Estados Unidos\u00bb.<\/p>\n

La campa\u00f1a generalizada de Forest Blizzard involucr\u00f3 ataques de adversario intermedio contra dominios que imitaban servicios leg\u00edtimos, incluido Microsoft Outlook Web Access. Esto permiti\u00f3 a los atacantes interceptar contrase\u00f1as, tokens de OAuth, credenciales de cuentas de Microsoft y otros servicios y contenido alojado en la nube. <\/p>\n

Microsoft insiste en que los activos o servicios de propiedad de la empresa no se vieron comprometidos como parte de la campa\u00f1a.<\/p>\n

El grupo de amenazas apunt\u00f3 a dispositivos de borde de red, incluidos enrutadores TP-Link y MicroTik, de manera oportunista antes de identificar objetivos sensibles de inter\u00e9s de inteligencia para el gobierno ruso, incluidas personas en los sectores militar, gubernamental y de infraestructura cr\u00edtica. <\/p>\n

Las v\u00edctimas, seg\u00fan los investigadores, incluyen agencias gubernamentales y organizaciones de los sectores de TI, telecomunicaciones y energ\u00eda. Lumen identific\u00f3 a otras v\u00edctimas asociadas con el gobierno de Afganist\u00e1n y otras vinculadas con asuntos exteriores y agencias nacionales de aplicaci\u00f3n de la ley en el norte de \u00c1frica, Am\u00e9rica Central y el sudeste asi\u00e1tico. La plataforma de identidad nacional de un pa\u00eds europeo an\u00f3nimo tambi\u00e9n se vio afectada, dijo la compa\u00f1\u00eda.<\/p>\n

Lumen no encontr\u00f3 evidencia de ninguna agencia gubernamental estadounidense comprometida como parte de esta campa\u00f1a, pero advirti\u00f3 que la actividad representa una grave amenaza a la seguridad nacional.<\/p>\n

Si bien el alcance total de los logros de Forest Blizzard sigue bajo investigaci\u00f3n, los investigadores conf\u00edan en que la difusi\u00f3n de informaci\u00f3n confidencial se ha detenido. <\/p>\n

\u00abLa campa\u00f1a ha cesado\u00bb, dijo a CyberScoop Danny Adamitis, distinguido ingeniero de Black Lotus Labs. \u00abHemos observado una disminuci\u00f3n gradual en las comunicaciones asociadas con esta infraestructura durante las \u00faltimas semanas\u00bb.<\/p>\n

Lumen dijo que observ\u00f3 una explotaci\u00f3n generalizada de enrutadores y redirecci\u00f3n de DNS a partir de agosto, el d\u00eda despu\u00e9s de que el Centro Nacional de Seguridad Cibern\u00e9tica del Reino Unido publicara un informe de an\u00e1lisis de malware<\/a> sobre una herramienta utilizada para robar credenciales de Microsoft Office. El NCSC del Reino Unido public\u00f3 el martes detalles sobre La campa\u00f1a de secuestro de DNS de APT28<\/a>incluidos indicadores de compromiso.<\/p>\n

El Departamento de Justicia y el FBI, actuando por orden judicial, remediaron los enrutadores comprometidos en los Estados Unidos despu\u00e9s de recopilar evidencia sobre la actividad de Forest Blizzard. El FBI dijo que el GRU de Rusia utiliz\u00f3 enrutadores propiedad de estadounidenses en m\u00e1s de 23 estados para robar informaci\u00f3n confidencial gubernamental, militar y de infraestructura cr\u00edtica.<\/p>\n