En los últimos meses ha salido a la luz una operación de ciberespionaje a gran escala que ha aprovechado routers domésticos y de pequeñas oficinas mal protegidos para «reconocer desde dentro» redes de interés político y administrativo. La campaña, que investigadores han rastreado desde por lo menos mayo de 2025 y que escaló de forma masiva en agosto, ha convertido aparatos de marcas como MikroTik y TP‑Link en puertas de acceso que redirigían el tráfico de DNS hacia servidores controlados por los atacantes.
El actor responsable ha sido vinculado a APT28, también conocido en algunos informes como Forest Blizzard y en subgrupos como Storm‑2754, un colectivo con historial de operaciones dirigidas a objetivos gubernamentales y de inteligencia. Informes técnicos y notas de prensa de equipos de inteligencia en seguridad explican que los atacantes obtuvieron acceso administrativo remoto a dispositivos SOHO vulnerables y cambiaron sus configuraciones de red para forzar el uso de resolutores DNS bajo su control. Al modificar esas resoluciones, podían redirigir solicitudes legítimas —incluidas páginas de correo web— hacia nodos que actuaban como intermediarios maliciosos y capturar credenciales, tokens y otra información sensible sin interacción aparente del usuario.
Los análisis públicos y el seguimiento de la infraestructura revelaron un alcance significativo: en su apogeo, hacia diciembre de 2025, más de 18.000 direcciones IP únicas en al menos 120 países comunicaban con servidores asociados a la campaña, que algunos equipos de investigación denominaron FrostArmada. Entre los blancos estaban ministerios de relaciones exteriores, fuerzas de seguridad y proveedores de correo y servicios en la nube de terceros en regiones tan diversas como el norte de África, Centroamérica, el sudeste asiático y Europa. Microsoft y otros equipos de inteligencia han identificado cientos de organizaciones afectadas y miles de dispositivos de consumidores comprometidos por la infraestructura maliciosa.
El mecanismo técnico por el que se obtenía ventaja es sencillo en su concepto y peligroso en su efectividad: con control del resolutor DNS en el borde de la red, el atacante puede decidir qué dirección IP responde a una consulta de nombre, y dirige a la víctima hacia infraestructura propia para intentar ataques «actor‑in‑the‑middle» (AiTM). Esta posición no solo facilita el robo de contraseñas y tokens OAuth, sino que también permite observar patrones de comunicación, seleccionar víctimas de valor y, en caso de querer escalar, desplegar malware o interrumpir servicios.
En varios casos los investigadores encontraron que se habían explotado routers TP‑Link modelo WR841N mediante una vulnerabilidad de omisión de autenticación identificada como CVE‑2023‑50224, que permite extraer credenciales almacenadas mediante peticiones HTTP especialmente manipuladas. También se reportó actividad relacionada con routers MikroTik en ubicaciones concretas, lo que sugiere que la operación combinó técnicas automatizadas de barrido con acciones interactivas más selectivas contra objetivos de mayor interés.
La naturaleza de la campaña ha sido descrita por autoridades y centros de respuesta como en parte oportunista: los atacantes obtienen visibilidad de una amplia base de dispositivos comprometidos y filtran progresivamente hasta aislar usuarios y organizaciones con valor para inteligencia. Esa operativa se presta a una explotación a escala, porque muchos routers domésticos y de pequeñas oficinas funcionan con ajustes por defecto, contraseñas débiles o firmware desactualizado, y además suelen escapar al escrutinio de los equipos de seguridad corporativos.
Frente a ello, la respuesta internacional no tardó: la infraestructura puesta en marcha por el actor fue desactivada como parte de una operación conjunta con autoridades estadounidenses y socios internacionales. Estas intervenciones buscan cortar los canales de exfiltración y evidenciar la actividad, pero la lección de fondo permanece: las redes corporativas y las cuentas críticas pueden verse comprometidas a través de dispositivos en apariencia periféricos y no gestionados.
Para entender mejor quiénes están detrás y qué técnicas usan, conviene remitirse a análisis técnicos y recursos abiertos de referencia. MITRE recoge la carrera y tácticas de APT28 en su base ATT&CK (grupo G0007), mientras que la descripción del fallo que facilita la extracción de credenciales está disponible en las bases de vulnerabilidades públicas (CVE‑2023‑50224). Equipos de investigación de la industria como Lumen Black Lotus Labs y los blogs de seguridad corporativos han venido publicando informes y análisis sobre campañas de enrutadores y secuestro de DNS; para contexto sobre amenazas y respuestas, las páginas oficiales de organizaciones como el NCSC del Reino Unido, la iniciativa Shields Up de CISA y el blog de seguridad de Microsoft son recursos útiles donde seguir recomendaciones y alertas públicas.
Las implicaciones operativas y políticas son relevantes. Un actor estatal o cuasi‑estatal que consigue visibilidad pasiva sobre el tráfico de correos, accesos a paneles administrativos o comunicaciones de ministerios obtiene una fuente de inteligencia de bajo coste y difícil detección. Ese tipo de acceso podría emplearse exclusivamente para recolección, como ha sido observado hasta ahora, pero la misma posición de AiTM podría permitir, si se quisiera, introducir cargas maliciosas, interferir servicios o pivotar hacia redes internas más protegidas.
Si trabajas en una organización que depende de la seguridad de cuentas corporativas o servicios en la nube, o si administras redes domésticas con equipos que ofrecen acceso remoto, hay medidas prácticas que ayudan a reducir el riesgo: mantener el firmware de routers actualizado, cambiar credenciales por defecto y desactivar la administración remota cuando no sea estrictamente necesaria; usar resolutores DNS confiables y validar cambios inesperados en la configuración del enrutador; aplicar autenticación multifactor en servicios críticos y vigilar cualquier comportamiento inusual en inicios de sesión. Las autoridades y los proveedores publican guías concretas que conviene seguir y aplicar con prioridad en infraestructuras expuestas.
Este caso vuelve a subrayar una realidad cada vez más clara: la seguridad no empieza ni termina en los perímetros tradicionales de la empresa. Dispositivos «pequeños» en manos de usuarios o en oficinas satélite pueden convertirse en amplificadores de espionaje si no se gestionan con las prácticas básicas de seguridad. Estar atentos a avisos de seguridad, parchear y reducir la superficie de ataque son acciones que, en conjunto, aumentan mucho el coste para un atacante y pueden evitar que una operación de este tipo prospere.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...