Los hackers rusos ataques cibernéticos están adoptando una estrategia más persistente y calculada, según la última advertencia del equipo de respuesta a incidentes cibernéticos de Ucrania (CERT-UA). En lugar de limitarse a ataques de «robar y huir», los grupos asociados al Kremlin están revisando metódicamente infraestructuras que comprometieron en el pasado, buscando puertas traseras aún activas para establecer un acceso duradero y preparar nuevas ofensivas.
hackers rusos ataques cibernéticos: Puntos clave de la nueva estrategia de amenazas rusas
- Los actores de amenazas rusos están revisando brechas de seguridad antiguas para verificar si el acceso sigue disponible.
- El objetivo ha cambiado: de operaciones rápidas a mantener acceso persistente en redes comprometidas para espionaje o futuros ataques.
- La ingeniería social sofisticada, incluyendo llamadas telefónicas en ucraniano fluido, ha reemplazado en parte a los correos de phishing tradicionales.
- Grupos notorios como APT28 (Fancy Bear) y Void Blizzard están empleando estas tácticas.
- A pesar de la evolución táctica, se registró una disminución en el número total de incidentes en la segunda mitad de 2025, lo que sugiere una mejora en las defensas ucranianas.
El cambio de paradigma: de «robar y huir» a acceso persistente
Según el informe de CERT-UA, los primeros meses de 2025 estuvieron dominados por el modelo de «steal-and-go», donde los atacantes desplegaban malware para extraer credenciales o datos sensibles rápidamente antes de abandonar el sistema para evitar la detección. Sin embargo, en la segunda mitad del año, los analistas observaron un giro estratégico significativo. Los hackers rusos ahora priorizan asegurar y mantener un punto de apoyo dentro de las redes comprometidas.
Esta estrategia permite a los actores de amenazas maximizar el valor de una brecha exitosa. En lugar de un beneficio único, la infracción se convierte en un activo reutilizable. Los atacantes pueden regresar posteriormente para expandir sus privilegios, realizar vigilancia continua, exfiltrar más datos o incluso lanzar operaciones de sabotaje en un momento estratégico, lo que es particularmente relevante en el contexto de un conflicto armado.
hackers rusos ataques cibernéticos — ¿Por qué revisar brechas pasadas es tan efectivo?
Los investigadores de CERT-UA detallan que los atacantes revisan sistemáticamente infraestructuras previamente comprometidas con tres objetivos principales: verificar si las vías de acceso originales (como vulnerabilidades sin parchear) siguen abiertas, comprobar si las credenciales robadas siguen siendo válidas y evaluar si los mecanismos de persistencia instalados (como backdoors) permanecen operativos. Lamentablemente, según fuentes del sector, estos intentos a menudo tienen éxito cuando la causa raíz del incidente inicial no se erradicó por completo, dejando una superficie de ataque residual.
La evolución del vector de acceso: ingeniería social de alta precisión
Paralelamente a la reutilización de brechas, los métodos para obtener el acceso inicial también han evolucionado. CERT-UA señala que los correos electrónicos de phishing genéricos con archivos adjuntos maliciosos son cada vez menos efectivos, gracias a una mayor concienciación en las organizaciones. Como contramedida, los hackers rusos ataques cibernéticos han refinado sus tácticas de ingeniería social, adoptando un enfoque más personalizado y de construcción de confianza.
La nueva metodología implica un contacto directo con la víctima, a menudo mediante llamadas telefónicas desde números móviles ucranianos o cuentas de mensajería legítimas. Los atacantes hablan un ucraniano fluido y demuestran un conocimiento detallado de la persona u organización objetivo, lo que les permite establecer una relación de confianza. Solo después de esta fase de preparación, envían enlaces o archivos maliciosos a través de aplicaciones de mensajería, lo que aumenta drásticamente la probabilidad de que la víctima los abra.
Grupos de amenazas que emplean estas tácticas
Según el reporte, grupos de hacking vinculados a Rusia, como el infame APT28 (también conocido como Fancy Bear), y el actor conocido como Void Blizzard, han utilizado esta técnica de ingeniería social de alta precisión en campañas dirigidas contra miembros de las fuerzas armadas y instituciones gubernamentales de Ucrania. Este modus operandi refleja una inversión significativa en inteligencia de fuentes abiertas (OSINT) y en la preparación meticulosa de las operaciones.
Un rayo de esperanza: la disminución de incidentes reportados
En medio de esta evolución táctica, el informe de CERT-UA contiene un dato esperanzador: el número total de incidentes cibernéticos registrados en Ucrania disminuyó en la segunda mitad de 2025 en comparación con la primera. Esta es la primera caída de este tipo desde el inicio de la invasión a gran escala de Rusia. Los investigadores interpretan que esta reducción puede indicar que las organizaciones ucranianas se están adaptando gradualmente al entorno de amenazas y mejorando sus defensas, endureciendo sus sistemas y respondiendo con mayor rapidez a las intrusiones.
No obstante, la advertencia es clara: el sector de seguridad y defensa sigue siendo el objetivo principal. Comprometer estas redes no solo permite el espionaje, sino que puede tener un impacto directo en el curso de la guerra, interrumpiendo comunicaciones, logística o sistemas de mando y control. La ciberguerra se ha convertido en un frente permanente y altamente especializado dentro del conflicto más amplio.
Lecciones para la comunidad global de ciberseguridad
La experiencia de Ucrania ofrece lecciones críticas para organizaciones de todo el mundo. La tendencia de revisar brechas pasadas subraya la importancia crítica de una remediación completa tras un incidente. No basta con eliminar el malware visible; es esencial identificar y cerrar todas las vías de acceso, rotar todas las credenciales comprometidas y monitorear la red en busca de signos de persistencia. Además, la sofisticación de la ingeniería social utilizada demuestra que la formación en concienciación debe evolucionar más allá del phishing básico, preparando a los empleados para escenarios de ataque más elaborados y personalizados.
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.