La amenaza silenciosa: Cómo Rusia utiliza routers vulnerables para espionar a Occidente
La NSA advierte sobre una campaña de espionaje rusa que ha estado explotando routers y dispositivos de red durante más de una década

La advertencia de la NSA
La Agencia de Seguridad Nacional de Estados Unidos (NSA) ha lanzado una advertencia sobre una campaña de espionaje atribuida al Centro 16 del Servicio Federal de Seguridad ruso (FSB), que ha estado explotando routers y dispositivos de red con configuraciones inseguras o desactualizadas durante más de una década. Esta campaña ha sido posible gracias a la falta de medidas de seguridad básicas en los dispositivos de red, lo que ha permitido a los hackers rusos acceder a redes estratégicas en todo el mundo.
El mecanismo de ataque
El Centro 16 rastrea internet en busca de routers que aún utilizan contraseñas predeterminadas o cadenas comunitarias inseguras del protocolo SNMP. Una vez identificado un dispositivo vulnerable, los operativos emiten comandos SNMP para copiar su archivo de configuración y lo redirigen, mediante el protocolo de transferencia TFTP, a servidores bajo su control. Este archivo contiene un mapa completo de la red, incluyendo tablas de enrutamiento, reglas de cortafuegos, credenciales almacenadas y arquitectura de subredes.
La importancia de la seguridad en los dispositivos de red
La NSA y sus socios recomiendan adoptar la versión 3 del protocolo SNMP, desactivar la función Cisco Smart Install, establecer contraseñas únicas y fuertes en cada dispositivo de red, bloquear los protocolos TFTP y SMI en el cortafuegos, y mantener el firmware actualizado. Estas medidas son técnicamente accesibles y pueden prevenir que los hackers rusos y otros servicios de inteligencia extranjeros exploren las debilidades de los dispositivos de red.
La respuesta occidental
La coordinación entre 18 agencias de 12 países para publicar simultáneamente una guía técnica, imponer sanciones y atribuir formalmente un ataque concreto representa la respuesta occidental más amplia hasta la fecha. Sin embargo, el historial del Centro 16 plantea dudas razonables sobre su capacidad disuasoria real, ya que ha estado operando durante más de una década sin consecuencias apreciables.
Un poco de historia sobre el Centro 16
El Centro 16, también conocido como Berserk Bear, Energetic Bear, Dragonfly o Static Tundra, ha estado activo desde al menos la primera mitad de la década de 2010. Ha explotado vulnerabilidades conocidas en la función Cisco Smart Install y en portales web de administración de dispositivos. Además, ha recopilado configuraciones de miles de equipos asociados a entidades estadounidenses de infraestructura crítica.
La cadencia de incidentes atribuidos a Rusia contra infraestructuras europeas se ha acelerado en los últimos meses. Suecia informó en abril de 2026 de que un grupo vinculado al FSB había atacado una planta de calefacción urbana. Francia atribuyó al mismo entorno operativo intrusiones contra sistemas ministeriales en 2014 y contra un instituto de investigación vinculado a la industria de defensa en febrero de 2025.
El Kremlin ha negado de forma sistemática cualquier implicación en estos incidentes. Sin embargo, la evidencia sugiere que el Centro 16 ha estado operando de forma oportunista contra redes estratégicas en todo el mundo, aprovechando las debilidades de los dispositivos de red y la falta de medidas de seguridad básicas.
Explora más noticias en nuestra sección: Mundo



