El Departamento de Justicia de Estados Unidos y el FBI ejecutaron el martes una operación judicial para neutralizar una red de routers domésticos comprometidos por la Unidad Militar 26165 del Servicio de Inteligencia Militar ruso, conocido por sus siglas en inglés como GRU. La campaña, activa desde al menos 2024, utilizó miles de dispositivos instalados en hogares y pequeñas oficinas de al menos 23 estados como plataforma encubierta para robar credenciales de acceso de objetivos en los ámbitos militar, gubernamental y de infraestructuras críticas en todo el mundo.
La operación fue ejecutada con autorización judicial y no afectó el funcionamiento normal de los equipos intervenidos. El FBI desarrolló comandos enviados directamente a los routers para recopilar evidencias, restaurar su configuración original y bloquear las vías de acceso utilizadas por los agentes rusos. Los propietarios pueden revertir esos cambios mediante un restablecimiento de fábrica.
El método era sofisticado pero difícil de detectar. Los routers son los dispositivos que distribuyen la conexión a internet en un hogar u oficina. Para llegar a cualquier sitio web, consultan un sistema de nombres que funciona como una guía telefónica digital: traduce las direcciones legibles que escribe el usuario en las direcciones numéricas que entienden las máquinas. Los agentes del GRU manipularon esa guía en los routers comprometidos para que, en vez de dirigir a los usuarios a los sitios reales, los enviara a servidores falsos bajo control ruso. Desde allí interceptaban contraseñas, credenciales de acceso y correos sin que las víctimas lo advirtieran.
El ataque seguía una lógica de embudo. En una primera fase, los piratas informáticos actuaban de forma masiva, comprometiendo el mayor número posible de routers mediante vulnerabilidades conocidas en modelos de la marca TP-Link. Luego aplicaban filtros automáticos para identificar qué conexiones correspondían a objetivos de interés. Solo entonces activaban la interceptación activa, suplantando servicios como el correo corporativo de Microsoft para capturar las credenciales de los usuarios seleccionados.
Microsoft, que colaboró con el FBI, identificó más de 200 organizaciones y 5.000 dispositivos afectados. Lumen Technologies, a través de su división Black Lotus Labs, precisó que los objetivos principales eran agencias gubernamentales, ministerios de asuntos exteriores y organismos de seguridad. Su análisis detectó víctimas en Estados Unidos, Europa, Afganistán, norte de África, América Central y el sudeste asiático.
La Unidad Militar 26165 es conocida bajo múltiples alias: APT28, Fancy Bear, Forest Blizzard o Sofacy. Activa desde al menos 2004, el Departamento de Justicia la imputó formalmente en 2018 por intrusiones que incluyeron el hackeo al Comité Nacional Demócrata durante la campaña presidencial de 2016 y la infiltración en el Parlamento alemán en 2015. El año pasado, más de 20 agencias de inteligencia occidentales la señalaron por comprometer empresas de logística vinculadas al suministro de ayuda militar a Ucrania.
Brett Leatherman, subdirector de la División Cibernética del FBI, advirtió que sin la intervención el GRU habría continuado sustrayendo información sensible. “El programa cibernético de Rusia es una amenaza permanente”, señaló según informó Reuters. Operación Masquerade contó con socios en 15 países, lo que subraya la dimensión transnacional de la amenaza.
El Centro Nacional de Ciberseguridad del Reino Unido, dependiente de la agencia GCHQ, y Alemania emitieron alertas coordinadas el mismo martes. La agencia británica describió la fase inicial como oportunista: los hacjkers lanzaban primero una red amplia y seleccionaban luego, de forma automatizada, los objetivos de valor para Moscú.