Las empresas y contratistas que participan en la industria de defensa están recibiendo una atención cada vez más intensa por parte de actores estatales, hacktivistas y bandas delictivas, y no se trata de un fenómeno aislado: así lo documenta el equipo de inteligencia de amenazas de Google en un informe reciente. La presión es simultánea desde varios frentes, con objetivos que van desde tecnologías desplegadas en el campo de batalla hasta cadenas de suministro industriales aparentemente ajenas al conflicto.
Una de las líneas de ataque que más preocupa es la focalización en plataformas autónomas y aeronaves no tripuladas. A medida que los drones y los vehículos autónomos se hacen imprescindibles en conflictos modernos, se convierten en blancos valiosos para el espionaje y el sabotaje. Google GTIG observa que varios grupos han centrado su curiosidad en estos sistemas, buscando información sobre diseño, control y despliegue, y en ocasiones tratando de apropiarse de las credenciales y los datos operativos que usan sus operadores. Puedes leer el análisis completo de Google en su blog de amenazas: Threats to the defense industrial base.
Junto a la obsesión por la tecnología de combate hay otra estrategia recurrente: atacar a las personas que construyen, mantienen o operan esos sistemas. Distintos colectivos han explotado procesos de contratación y ofertas de empleo falsas para ganarse la confianza de técnicos y especialistas, enviarles software malicioso o lograr acceso a sus dispositivos personales. Estas campañas de “empleo soñado” o reclutamiento malicioso no solo buscan credenciales sino que también recurren a ingeniería social muy afinada, con documentos y portales que imitan a empresas reales.
Los caminos de entrada elegidos por los atacantes son variados y, en muchos casos, creativos. Grupos vinculados a China han mostrado preferencia por aprovechar dispositivos de borde —como puertas de enlace, appliances y equipos IoT industriales— para abrir una primera brecha sin tocar directamente los servidores corporativos. El uso de redes de relés operacionales (ORB) para enmascarar la procedencia del tráfico y complicar la detección es un ejemplo de cómo estas tácticas dificultan la atribución: un análisis técnico sobre el uso de ORB en redes de telecomunicaciones explora este patrón y sus implicaciones, y está disponible en el blog de Team Cymru.
La exposición de la cadena de suministro manufacturera es otra de las preocupaciones destacadas. Cuando un proveedor de piezas, software o servicios es comprometido, el alcance del daño puede multiplicarse: componentes infectados, actualizaciones manipuladas o acceso persistente insertado en procesos de producción. Google y otros observadores han documentado incidentes en los que la alteración de procesos de actualización o explotaciones en plataformas de gestión de investigación han servido para desplegar backdoors capaces de robar credenciales y mantener acceso a largo plazo.
El catálogo de actores y herramientas implicadas es extenso y muestra tácticas distintas según origen y objetivos. Algunos grupos han buscado extraer datos de aplicaciones de mensajería seguras tras obtener acceso físico a dispositivos en zonas de combate; otros han usado formularios en línea como señuelos para reconocer objetivos y distribuir malware diseñado para estaciones de control de UAV. Hay campañas que han abusado de funcionalidades legítimas de aplicaciones seguras para secuestrar cuentas, o que han reemplazado actualizaciones de software de control por instaladores maliciosos. En otro frente, se han observado actores que emplean familias de malware móviles para recopilar archivos, contactos y datos de apps especializadas en el terreno.
En determinados casos se han identificado malware y técnicas muy concretas: desde binarios que exfiltran datos de versiones de escritorio de mensajería cifrada hasta troyanos Android camuflados como herramientas de control de combate. También se ha detectado el empleo de gestores remotos legítimos, desplegados mediante descargadores, con el objetivo de facilitar la administración encubierta de entornos comprometidos. Para quienes siguen la pista a amenazas como estas, hay informes publicados y análisis técnicos que ayudan a identificar patrones y señales de compromiso: por ejemplo, investigaciones sobre campañas que afectaron a sectores aeroespaciales y de defensa se pueden contrastar con reportes de firmas de seguridad y medios especializados.
Este mapa de amenazas no es estático: los grupos evolucionan para sortear defensas. Un rasgo común es la búsqueda deliberada de evitar soluciones de protección de endpoints, recurriendo a intrusiones dirigidas hacia dispositivos concretos o a vectores que no están cubiertos por la detección habitual. Eso obliga a pensar la seguridad más allá del perímetro clásico y a contemplar controles en los puntos menos valorados, desde los portátiles de empleados de campo hasta las actualizaciones de firmware de proveedores externos.
Para las organizaciones del sector, la respuesta pasa por combinar medidas técnicas con cambios en procesos y cultura. Revisar y endurecer los protocolos de contratación y validación de personal, segmentar con rigor las redes industriales, vigilar la integridad de las rutas de suministro y de actualización de software, y desplegar capacidades de detección que incluyan telemetría de red y análisis del comportamiento son acciones necesarias. Además, compartir inteligencia de amenazas con agencias y pares facilita una reacción temprana y coordinada ante campañas dirigidas. En el ámbito público, recursos y guías sobre seguridad en la cadena de suministro pueden consultarse en la web de la CISA.
Si hay una lección clara, es que la industria de defensa no puede permitirse la complacencia: la combinación de motivación estatal, capacidades técnicas sofisticadas y objetivos de alto valor convierte a este sector en un objetivo prioritario y resiliente. La protección efectiva exige visibilidad, cooperación y adaptación continua, y tanto organizaciones privadas como agencias gubernamentales deben mantener la guardia alta para anticipar y mitigar amenazas que pueden afectar desde sistemas en primera línea hasta componentes que, aparentemente, solo forman parte de la periferia industrial.
Para profundizar en los hallazgos concretos y los ejemplos técnicos a los que alude este panorama, el análisis de Google GTIG ofrece un punto de partida detallado y accesible: Threats to the defense industrial base (Google GTIG). Otros análisis especializados, como los enlaces técnicos citados en el texto, permiten contrastar tácticas y procedimientos y sirven como referencia para técnicos y responsables de seguridad que deban priorizar mitigaciones en sus organizaciones.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...