Un mapa completo de la red sin disparar una sola alarma
Durante más de una década, una unidad de inteligencia rusa ha recorrido silenciosamente el interior de redes críticas occidentales, no mediante ataques espectaculares, sino aprovechando la negligencia cotidiana: contraseñas que nunca se cambiaron, protocolos que nunca se aseguraron. La NSA y diecisiete organismos aliados emitieron esta semana una advertencia formal que nombra al Centro 16 del FSB como responsable de esta campaña persistente, justo cuando las consecuencias de un ataque casi exitoso contra la red eléctrica polaca en diciembre de 2025 comienzan a traducirse en sanciones diplomáticas. Lo que está en juego no es solo la seguridad de los datos, sino la continuidad del suministro eléctrico, las comunicaciones y los sistemas financieros de millones de personas en pleno invierno.
- El Centro 16 del FSB lleva más de una década cartografiando en silencio redes de infraestructura crítica en Occidente, acumulando mapas detallados sin disparar una sola alarma.
- El ataque del 29 de diciembre de 2025 contra la red eléctrica de Polonia, con el malware DynoWiper, estuvo a punto de dejar a 500.000 personas sin electricidad en pleno invierno.
- La NSA, junto a diecisiete organismos de once países aliados, emitió una alerta coordinada que expone el mecanismo técnico exacto: contraseñas predeterminadas y protocolos SNMP inseguros como puerta de entrada.
- Las mismas vulnerabilidades son explotadas simultáneamente por actores vinculados a China, lo que significa que miles de dispositivos estadounidenses enfrentan múltiples adversarios a la vez.
- Las soluciones existen y son accesibles: actualizar a SNMPv3, desactivar Cisco Smart Install, cambiar contraseñas y mantener el firmware al día — medidas que muchos administradores simplemente no han tomado.
La Agencia de Seguridad Nacional estadounidense emitió el lunes una advertencia coordinada con diecisiete organismos de ciberseguridad de once países aliados, señalando al Centro 16 del FSB ruso como responsable de una campaña sostenida de intrusión en dispositivos de red mal configurados. Los sectores identificados como más vulnerables abarcan defensa, energía, comunicaciones, finanzas, instalaciones gubernamentales y salud.
La alerta llegó acompañada de una guía paralela del Centro Nacional de Ciberseguridad del Reino Unido y coincidió con las primeras sanciones conjuntas entre Londres y Bruselas contra miembros de esa unidad del FSB desde el Brexit. El detonante fue el ataque del 29 de diciembre de 2025 contra la red eléctrica de Polonia, atribuido formalmente al Centro 16 y ejecutado con el malware destructivo DynoWiper. El ataque fracasó, pero por poco: de haber tenido éxito, habría dejado sin electricidad a medio millón de ciudadanos en pleno invierno.
El mecanismo técnico es revelador en su simplicidad. El Centro 16 rastrea internet en busca de routers que aún usan contraseñas predeterminadas o cadenas inseguras del protocolo SNMP. Una vez identificado un dispositivo vulnerable, copia su archivo de configuración y lo redirige a servidores propios: ese archivo equivale a un mapa completo de la red, con tablas de enrutamiento, reglas de cortafuegos y arquitectura de subredes, todo ello sin activar alertas de intrusión. El grupo, conocido también como Berserk Bear o Energetic Bear, opera desde al menos la primera mitad de la década de 2010.
Un elemento adicional agrava el panorama: las técnicas del Centro 16 se solapan con las del actor vinculado a China conocido como Salt Typhoon, lo que indica que las mismas debilidades son explotadas por múltiples adversarios de forma simultánea. Frente a ello, la NSA recomienda medidas técnicamente accesibles: adoptar SNMPv3, desactivar Cisco Smart Install, establecer contraseñas únicas y mantener el firmware actualizado. El mensaje implícito es claro: la mayoría de estos ataques no exigen sofisticación extraordinaria, sino que los administradores de red hagan lo que debieron haber hecho hace años.
La Agencia de Seguridad Nacional estadounidense emitió el lunes una advertencia que apunta directamente al Centro 16 del FSB ruso como responsable de una campaña sostenida de intrusión en routers y dispositivos de red mal configurados. El anuncio, coordinado con diecisiete organismos de ciberseguridad de once países aliados, identifica los sectores más vulnerables: defensa, energía, comunicaciones, finanzas, instalaciones gubernamentales y salud. La NSA insta a los operadores de estas infraestructuras a cerrar las brechas que los hackers rusos han estado explotando durante más de una década.
La alerta no llegó sola. Horas antes, el Centro Nacional de Ciberseguridad del Reino Unido publicó una guía paralela con el mismo enfoque, y ambos anuncios coincidieron con las primeras sanciones conjuntas entre Londres y Bruselas contra miembros de esa unidad del FSB desde el Brexit. El catalizador fue el ataque del 29 de diciembre de 2025 contra la red eléctrica de Polonia, formalmente atribuido al Centro 16. Si hubiera tenido éxito, habría dejado sin electricidad a quinientos mil ciudadanos en pleno invierno. El malware utilizado fue DynoWiper, una herramienta destructiva históricamente asociada a operaciones del Estado ruso. El ataque fracasó, pero por poco margen.
Lo que revela el aviso es el mecanismo técnico detrás de estos ataques. El Centro 16 rastrea internet buscando routers que aún usan contraseñas predeterminadas o cadenas inseguras del protocolo SNMP, palabras clave como "public" o "private" que los fabricantes incluyen de fábrica y que muchos administradores nunca cambian. Una vez identificado un dispositivo vulnerable, los operativos emiten comandos SNMP para copiar su archivo de configuración y lo redirigen mediante el protocolo TFTP a servidores bajo su control. Ese archivo es, en la práctica, un mapa completo de la red: tablas de enrutamiento, reglas de cortafuegos, credenciales almacenadas y arquitectura de subredes. Para una operación de inteligencia que busca comprender el interior de una red sin disparar las alarmas de detección de intrusos, ese documento es más valioso que la mayor parte del malware convencional.
El grupo, conocido también como Berserk Bear, Energetic Bear, Dragonfly o Static Tundra, lleva activo desde al menos la primera mitad de la década de 2010. Además del protocolo SNMP, ha explotado vulnerabilidades conocidas en la función Cisco Smart Install y en portales web de administración de dispositivos. Desde agosto de 2025, el FBI ya había documentado la recopilación de configuraciones de miles de equipos asociados a entidades estadounidenses de infraestructura crítica. Los socios de la NSA en esta alerta incluyen a la Agencia de Ciberseguridad e Infraestructura, el FBI, y organismos de Australia, Canadá, Nueva Zelanda, República Checa, Dinamarca, Estonia, Finlandia, Francia, Italia, Polonia y Suecia.
Un detalle significativo emerge del análisis: las técnicas del Centro 16 se solapan en parte con las del actor vinculado a China conocido como Salt Typhoon. Esto sugiere que las debilidades explotadas por Moscú son las mismas que aprovechan otros servicios de inteligencia extranjeros, lo que significa que miles de dispositivos estadounidenses permanecen expuestos a múltiples adversarios simultáneamente.
Las medidas recomendadas son técnicamente accesibles: adoptar la versión 3 del protocolo SNMP, la única con cifrado y autenticación robusta; desactivar la función Cisco Smart Install; establecer contraseñas únicas y fuertes en cada dispositivo de red; bloquear los protocolos TFTP y SMI en el cortafuegos; y mantener el firmware actualizado. Lo que la NSA está diciendo, en esencia, es que la mayoría de estos ataques no requieren sofisticación extraordinaria. Requieren que los administradores de red hagan lo que deberían haber hecho hace años.
Citações Notáveis
El Centro 16 rastrea internet en busca de routers que aún utilizan contraseñas predeterminadas o cadenas comunitarias inseguras del protocolo SNMP— Alerta coordinada de NSA y organismos aliados
Para una operación de inteligencia que busca comprender el interior de una red sin disparar las alarmas de detección de intrusos, ese documento es más valioso que la mayor parte del malware convencional— Análisis técnico de la NSA
A Conversa do Hearth Outra perspectiva sobre a história
¿Por qué un router mal configurado es tan valioso para una agencia de inteligencia?
Porque no necesitan entrar en la red. Con ese archivo de configuración tienen el plano completo: dónde están los servidores críticos, cómo están conectados, qué credenciales funcionan. Es como tener un mapa de seguridad sin disparar una sola alarma.
¿Cuánto tiempo llevan haciendo esto?
Desde al menos 2010. Más de una década. Y durante todo ese tiempo, muchas organizaciones nunca cambiaron las contraseñas que vienen de fábrica en sus routers.
¿Qué cambió ahora para que salte la alarma?
El ataque a Polonia. Intentaron sabotear la red eléctrica en invierno. Habría dejado sin luz a medio millón de personas. Falló por poco, pero eso fue suficiente para que Reino Unido y la UE sancionen a la unidad.
¿Es solo Rusia quien usa estas técnicas?
No. China también. Salt Typhoon explota las mismas debilidades. Lo que significa que si Rusia puede entrar por esa puerta, China también puede. Probablemente ya lo hizo.
¿Qué tan difícil es arreglarlo?
No es difícil. Cambiar contraseñas, actualizar protocolos, desactivar funciones innecesarias. El problema es que nadie lo hizo durante trece años.