En una de las acciones coordinadas de ciberseguridad más amplias de la historia reciente, un bloque de 18 agencias de inteligencia y ciberdefensa pertenecientes a 12 países occidentales ha emitido una alerta conjunta urgente. El aviso exige a los operadores de infraestructuras nacionales críticas (CNI) blindar sus redes de inmediato frente a una campaña de espionaje y sabotaje digital a gran escala orquestada por el Servicio de Seguridad Federal de Rusia (FSB).
![]() |
| Visto en Infobae |
La coalición internacional que firma esta advertencia sin precedentes está compuesta por los siguientes 12 países y sus respectivas 18 agencias de seguridad
- Estados Unidos (4 agencias): La Agencia de Seguridad Nacional (NSA), la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA), la Oficina Federal de Investigación (FBI) y el Centro de Ciberdelincuencia del Departamento de Defensa (DC3).
- Reino Unido (1 agencia): El Centro Nacional de Ciberseguridad del Reino Unido (NCSC-UK), que colidera la iniciativa.
- Estonia (2 agencias): El Servicio de Inteligencia Exterior de Estonia (EFIS) y la Autoridad de Sistemas de Información de Estonia (RIA).
- Finlandia (2 agencias): La Inteligencia de Defensa de Finlandia (FDI) y el Servicio de Inteligencia y Seguridad de Finlandia (SUPO).
- Italia (2 agencias): La Agencia de Información y Seguridad Exterior (AISE) y la Agencia de Información y Seguridad Interior (AISI).
- Canadá (1 agencia): El Centro Canadiense de Ciberseguridad (Cyber Centre / CSE).
- Australia (1 agencia): El Centro de Ciberseguridad de la Dirección de Señales de Australia (ASD's ACSC).
- Nueva Zelanda (1 agencia): El Centro Nacional de Ciberseguridad de Nueva Zelanda (NCSC-NZ).
- Francia (1 agencia): La Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI).
- Polonia (1 agencia): El Servicio de Contrainteligencia Militar de Polonia (SKW).
- República Checa (1 agencia): La Agencia Nacional de Seguridad Cibernética y de la Información (NÚKIB).
- Dinamarca (1 agencia): El Servicio de Inteligencia de Defensa de Dinamarca (DDIS).
- Suecia (1 agencia): El Centro Nacional de Ciberseguridad de Suecia (NCSC-SE).
La advertencia no es teórica. Coincide con la atribución formal a Rusia de un ataque ejecutado en diciembre de 2025 contra la red eléctrica de Polonia. Según las autoridades internacionales, dicha operación estuvo a punto de dejar sin electricidad a más de 500.000 civiles en pleno invierno, demostrando el impacto devastador que pueden tener estas incursiones digitales en el mundo físico.
El Objetivo: Los "Guardianes Invisibles" de la Red
La campaña maliciosa está siendo ejecutada por el Centro 16 del FSB, una unidad de ciberespionaje ampliamente conocida en la comunidad de seguridad bajo alias como Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Ghost Blizzard o Static Tundra.
A diferencia de otros ataques sofisticados que emplean complejas vulnerabilidades desconocidas (Zero-Days), el Centro 16 ha optado por una estrategia oportunista pero altamente efectiva: atacar dispositivos de red perimetrales, principalmente routers, mal configurados o desactualizados.
Los routers suelen ser tratados por los equipos de TI como "infraestructura invisible": una vez instalados y funcionando, rara vez se supervisan con la misma rigurosidad que un servidor. Esto los convierte en el vector de entrada perfecto para acceder a redes estratégicas de sectores esenciales como:
- Energía y Agua
- Comunicaciones y Defensa Industrial
- Servicios Financieros
- Salud y Salud Pública
- Servicios Gubernamentales (especialmente a nivel estatal y local)
Anatomía del Ataque: ¿Cómo opera el Centro 16?
El informe técnico detalló los pasos que la inteligencia rusa repite de forma constante para comprometer las redes globales:
1. Escaneo Masivo y Explotación de Protocolos Heredados
Los atacantes rastrean activamente internet en busca de dispositivos que tengan habilitado el protocolo SNMP (Simple Network Management Protocol), una herramienta utilizada para administrar routers a distancia. El Centro 16 busca específicamente routers que utilicen las versiones antiguas SNMPv1 o SNMPv2, las cuales transmiten las credenciales (llamadas community strings) en texto plano, o que aún conserven contraseñas de fábrica.
2. Copia de Configuraciones (Exfiltración)
Una vez que obtienen acceso al protocolo SNMP, los actores de amenazas envían comandos específicos para obligar al dispositivo a realizar una copia completa de su archivo de configuración. Este archivo es enviado mediante el protocolo TFTP a servidores virtuales privados (VPS) controlados o alquilados por la inteligencia rusa.
3. Mapeo Lateral y Control Total
Al analizar los archivos de configuración robados, el FSB obtiene las contraseñas guardadas del sistema, las rutas de red y los mapas internos de la organización. Con esta información, logran saltar desde el router periférico hacia el corazón de la red corporativa u operativa (OT), permitiéndoles monitorizar el tráfico, secuestrar el sistema de nombres de dominio (DNS) para redirigir conexiones o aguardar en silencio para activar un sabotaje
Una vulnerabilidad explotada con frecuencia: El informe señala que el Centro 16 sigue aprovechando la vulnerabilidad CVE-2018-0171 en la función Smart Install (SMI) de dispositivos Cisco antiguos o que han llegado al fin de su vida útil. A pesar de contar con un parche oficial desde 2018, miles de dispositivos críticos en todo el mundo siguen expuestos.
Directivas de Mitigación Inmediata
Las 18 agencias de ciberseguridad han publicado una serie de pasos obligatorios para que los administradores de infraestructuras críticas detengan esta campaña de intrusión:
- Migrar a SNMPv3: Desactivar de inmediato las versiones heredadas (v1 y v2). La versión SNMPv3 incluye capacidades nativas de autenticación avanzada y cifrado criptográfico, impidiendo que el tráfico de gestión sea interceptado o manipulado.
- Fortalecer Credenciales: Cambiar todas las contraseñas predeterminadas de fábrica en routers, switches y firewalls por contraseñas robustas y únicas
- Restringir el Acceso de Gestión: Deshabilitar las interfaces de administración remota expuestas a internet. El acceso a la gestión de los equipos de red solo debe ser accesible desde redes internas seguras o mediante conexiones controladas.
- Auditoría de Parches y Ciclo de Vida: Identificar y reemplazar de inmediato el hardware obsoleto (End-of-Life) que ya no reciba actualizaciones de seguridad del fabricante y aplicar parches pendientes contra fallos conocidos en equipos perimetrales.
La alerta conjunta subraya que la higiene digital en los sistemas periféricos ya no es una tarea secundaria de mantenimiento técnico. En el contexto geopolítico actual, la seguridad de un simple router puede ser la delgada línea que separa la normalidad operativa de un apagón masivo que afecte a cientos de miles de ciudadanos.-
Jorge S. King ©2026
Todos los derechos reservados
Notas relacionadas:
- Russian State Hackers Target Vulnerable Routers Worldwide, Joint Advisory Warns. Infosecurity Magazine. 13/07/2026.
- Russia’s FSB attacks critical infrastructure, says 12 Western nations. SC Media. 13/07/2026.
- NCSC urges critical sectors to strengthen defences against FSB attacks. Computing UK. 13/07/2026.
- El Reino Unido pide reforzar la ciberdefensa de la infraestructura crítica por operaciones de Rusia. Infobae. 13/07/2026.
___________________
NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.
IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados.
Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.

No hay comentarios.:
Publicar un comentario
Bienvenido al blog y muchas gracias por su visita. Espero que el contenido sea de utilidad, interés y agrado.
Los comentarios están moderados. Antes de colocar un comentario lea bien las condiciones, tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios.
- no se admite propaganda de ningún tipo
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.
Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.