Permanecer silente durante años, observando, esperando el momento de sabotaje
Salt Typhoon y otros cinco comandos de ciberespionaje estatal (APT28, APT29, APT15, Turla, Lazarus) ejecutan ataques coordinados contra telecomunicaciones, defensa y administración pública. España detecta más incidentes que otros países de la UE gracias a sistemas avanzados como Reyes y Elsa, que monitorizan 18,6 millones de direcciones IP y 480 millones de puertos en administración pública.
- Salt Typhoon extrajo configuración de 90 routers en febrero de 2025 e intentó atacar 22 más en septiembre
- 278 episodios críticos de ciberataque detectados en 2025, con crecimiento del 293% en ciberespionaje estatal
- Seis comandos principales: Salt Typhoon, Turla, APT15, APT29, APT28, Lazarus Group, operando bajo patrocinio de Rusia y China
- 18.646.973 direcciones IP monitorizadas y 480,3 millones de puertos analizados en administración pública española
Grupos de hackers rusos y chinos lideran ataques persistentes contra infraestructuras críticas españolas, con 278 episodios detectados en 2025 y un crecimiento del 293% en ciberespionaje estatal.
A finales de enero, cuatro operadores de un sector industrial español clave descubrieron que alguien había entrado en sus sistemas. Para febrero, el Centro Criptológico Nacional confirmó lo que temían: los atacantes habían extraído la configuración de 90 routers y estaban intentando saltar hacia los clientes de esas empresas. En septiembre lo volvieron a intentar, esta vez con 22 routers más. El responsable era Salt Typhoon, uno de los entramados de ciberespionaje más buscados en Occidente, operando desde China con una paciencia y una sofisticación que distingue a los espías de Estado de los simples delincuentes.
Salt Typhoon es solo uno de seis comandos que, según fuentes de seguridad del Estado consultadas por este periódico, representan la amenaza militar más activa en el dominio cibernético contra España. Los otros cinco son Turla, APT15, APT29, APT28 y Lazarus Group, además de Laundry Bear. Todos ellos operan bajo el patrocinio directo o indirecto de Rusia y China. Su táctica es metódica: atacan cuentas de correo de ejecutivos en pequeñas empresas para infiltrarse en las grandes corporaciones que les prestan servicios. Buscan instalar vigilancia en los componentes de la cadena de suministro militar. Se cuelan en la administración pública explotando los puntos débiles de diputaciones y ayuntamientos. No son criminales buscando dinero rápido. Son lo que los expertos llaman "actores de Estado", y su objetivo es permanecer invisibles durante años, observando, copiando información, esperando el momento en que puedan derribar sistemas críticos o, como explica el vicealmirante Javier Roca, comandante del Mando Conjunto del Ciberespacio, "ponernos de rodillas cuando le venga bien".
APT28, conocido también como Fancy Bear, es la herramienta del GRU, el servicio militar de inteligencia ruso. En 2023, después de que la invasión de Ucrania ya había comenzado, APT28 atacó una aplicación Android que la artillería ucraniana usaba para emplazar baterías y recibir datos de tiro. Los investigadores descubrieron que llevaban meses dentro del sistema, escondidos desde antes de que comenzara la guerra. En los seis meses previos a la invasión, expertos estadounidenses ayudaron a Ucrania a limpiar numerosas incursiones cibernéticas rusas. "Estaban por todas partes, en los transportes, en la sanidad, en la energía", cuenta un especialista del ministerio de Defensa. APT29, también rusa pero operando con las técnicas del SVR, el servicio de espionaje exterior del Kremlin, ha utilizado al menos 29 nombres diferentes en sus operaciones: Midnight Blizzard, Minidionis, Nobelium, Yttrium, Blue Bravo. El Centro Criptológico Nacional la ha detectado intentando captar información de activos españoles.
Turla es considerada una herramienta del FSB, el heredero del antiguo KGB. Lleva 15 años activa en España, con una intensidad creciente desde 2010 hasta 2017. Su sistema de infección se llama Snake. Utiliza también un malware llamado Kazuar para violar la seguridad de correos electrónicos y VPNs. Sus objetivos preferidos son diplomáticos, unidades militares, firmas farmacéuticas y universidades. APT15, de origen ruso según los expertos, mostró una actividad intensa en España a partir de enero de 2024, aunque se le atribuyen acciones en el país desde 2015. Utiliza técnicas menos predecibles que las de los grupos chinos. Lazarus Group, emergente expresión de la capacidad de Corea del Norte para robar información sobre armamento y tecnología, tiene como foco principal a Corea del Sur y Estados Unidos, pero puede afectar a empresas españolas que entregan o reciben servicios de esos países. Laundry Bear, descrito por el servicio de inteligencia neerlandés, es posiblemente una fusión de partes de otras APT y se atribuye al ciberespionaje ruso desde 2024, enfocándose en proveedores de internet, contratistas militares y ejércitos.
El Centro Criptológico Nacional ha registrado 278 episodios críticos de ciberataque en lo que va de 2025, con un crecimiento del 293% respecto al año anterior. De esos casos, 128 eran de ciberespionaje. Las cifras son alarmantes, pero Javier Candau, subdirector general del CCN, las coloca en perspectiva: "No es que ataquen mucho a España, es que en España detectamos más que en otros países de la UE". El organismo que dirige gestionó 200.000 incidentes el último año. De esos, 140.000 procedían de alertas de la comunidad de ciberinteligencia española: comunidades autónomas, organismos de la administración, entidades públicas y empresas privadas que reportan incidentes. España no es necesariamente el país más atacado, sino el que mejor detecta porque comparte más información y tiene mejores herramientas.
Esa arquitectura de defensa descansa en dos sistemas principales. Reyes es un proyecto del Centro Criptológico Nacional y del Mando Conjunto del Ciberespacio que beneficia a más de 500 organismos y más de 2.000 usuarios de las administraciones públicas. Elsa, cuyo nombre viene de Exposición Local y Superficie de Ataque, permite observar el riesgo de los activos conectados a Internet. Ya tiene más de 8.500 organismos examinados. Los números dan idea del volumen: 18.646.973 direcciones IP monitorizadas y 480,3 millones de puertos analizados solo en la administración pública. Es una guerra silenciosa, librada en el código y en los routers, en los correos de diplomáticos y en los sistemas de defensa. Los atacantes buscan pasar desapercibidos, mostrar una capacidad técnica a menudo superior a la de los ciberdelincuentes comunes. A veces, cuando coinciden en sus objetivos, los diferentes comandos se cruzan entre ellos. El objetivo final no es el caos visible, sino el control invisible, la capacidad de observar y sabotear cuando llegue el momento.
Citas Notables
Tratan de pasar por debajo del radar y muestran una capacidad técnica a menudo superior a la de los ciberdelincuentes— Miembro de la lucha contra el ciberespionaje estatal
No es que ataquen mucho a España, es que en España detectamos más que en otros países de la UE— Javier Candau, subdirector general del Centro Criptológico Nacional
Ponernos de rodillas cuando le venga bien— Vicealmirante Javier Roca, comandante del Mando Conjunto del Ciberespacio
La Conversación del Hearth Otra perspectiva de la historia
¿Por qué estos grupos son tan diferentes de los criminales cibernéticos normales?
Porque no buscan dinero. Un delincuente entra, roba, se va. Estos actores de Estado quieren quedarse, pasar desapercibidos durante años, observando. Es vigilancia estratégica.
¿Y cómo logran entrar si las grandes empresas tienen defensas?
No entran por la puerta principal. Atacan al ejecutivo de una pequeña empresa que presta servicios a una grande, roban sus credenciales, y luego usan eso para infiltrarse en el cliente importante. Es ingeniería social a escala estatal.
¿Qué significa que APT28 estuviera dentro de sistemas ucranianos antes de la invasión?
Significa que Rusia ya estaba mapeando el terreno. Sabían dónde estaban los sistemas críticos, cómo funcionaban, dónde estaban las vulnerabilidades. Cuando comenzó la guerra, ya tenían los ojos puestos.
¿Por qué España detecta más ataques que otros países europeos?
No porque sea más atacada, sino porque tiene mejor infraestructura de detección. Comparte información entre administraciones, tiene herramientas avanzadas. Otros países probablemente tienen los mismos ataques pero no los ven.
¿Cuál es el objetivo final de permanecer silente durante años?
Espiar, copiar información, mapear sistemas críticos. Y cuando llegue el momento estratégico correcto, sabotear. El vicealmirante lo dijo claramente: "ponernos de rodillas cuando le venga bien".
¿Qué pasa con los grupos que no tienen estas capacidades?
Las compran. Marruecos compró Pegasus a una empresa israelí. Es más barato que desarrollar tu propio arsenal cibernético.