Fancy Bear explota fallos en dispositivos TP-Link y MikroTik para interceptar datos de gobiernos y empresas en más de 120 países, mientras Reino Unido y Estados Unidos elevan la alerta por una campaña que ya supera las 5.000 víctimas.
Londres/Washington D.C. – El grupo de hackers rusos Fancy Bear, vinculado directamente a la inteligencia militar del Kremlin (GRU), ha intensificado una campaña silenciosa pero masiva para convertir routers wifi domésticos y de oficina en nodos de espionaje a escala planetaria. La advertencia, emitida este mes por el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), dependiente del GCHQ, describe una operación que no distingue entre un hogar común y un ministerio de Asuntos Exteriores.
Según el informe, al que tuvo acceso el diario The Times, los atacantes explotan vulnerabilidades conocidas en equipos de uso masivo, como los routers TP-Link y MikroTik, con configuraciones débiles o software obsoleto. Una vez dentro, redirigen el tráfico de internet hacia sitios fraudulentos —incluyendo versiones maliciosas de Microsoft Outlook— para robar contraseñas, tokens de autorización y datos sensibles de todos los dispositivos conectados a esa red.
El equipo de Microsoft Threat Intelligence ha confirmado que al menos 200 organizaciones y más de 5.000 dispositivos de consumo ya han sido comprometidos. Pero la cifra real podría ser mucho mayor. Los investigadores de Lumen Technologies’ Black Lotus Labs hablan de “miles de víctimas potenciales” en agencias gubernamentales, fuerzas de seguridad y proveedores de correo electrónico de al menos 120 países.
“No seleccionan víctimas específicas al inicio. Lanzan una red muy amplia para pescar la mayor cantidad posible de objetivos y luego filtran aquellos con valor de inteligencia”, explicó el NCSC. Esta estrategia, precisamente, dificulta la detección temprana.
Fancy Bear —también conocido como APT28 o Forest Blizzard— no es un actor novato. Entre sus operaciones anteriores figuran la infiltración en el Comité Nacional Demócrata durante las elecciones presidenciales de EE.UU. de 2016, el robo de información del parlamento alemán en 2015, la filtración de expedientes médicos de la Agencia Mundial Antidopaje (WADA) y un intento de hackeo a la sede de la Organización para la Prohibición de las Armas Químicas (OPAQ) en Reino Unido.
“Estos dispositivos suelen ser olvidados y, por lo tanto, no se actualizan”, resume el profesor Alan Woodward, especialista en ciberseguridad de la Universidad de Surrey. El NCSC recomienda renovar equipos antiguos y aplicar parches de seguridad de inmediato, advirtiendo que el “amplio margen de ataque” que representan los routers los convierte en un blanco perfecto para actores estatales sofisticados.
El mes pasado, la Comisión Federal de Comunicaciones (FCC) de EE.UU. prohibió la importación y comercialización de routers de origen extranjero, citando que “actores maliciosos han aprovechado vacíos de seguridad para atacar hogares estadounidenses, interrumpir redes, habilitar el espionaje y facilitar el robo de propiedad intelectual”. En particular, el fabricante chino TP-Link enfrenta investigaciones de los departamentos de Comercio y Justicia, la Comisión Federal de Comercio y la fiscalía de Texas.
La campaña de Fancy Bear, que comenzó en 2024 según el NCSC, no solo expone datos sensibles como contraseñas y correos electrónicos, sino que convierte a cada router comprometido en un caballo de Troya persistente. Y lo más inquietante, según los analistas, es que esto podría ser solo el preludio de “interceptaciones a gran escala en el futuro”. La lección es clara: el eslabón más débil de la ciberseguridad global puede estar hoy en el pequeño aparato que conecta su hogar a internet.
