Estados Unidos ha decidido dar un paso más en su ofensiva contra el espionaje digital ruso con una operación de gran alcance que ha permitido desmantelar una red global de routers comprometidos utilizada como plataforma de vigilancia encubierta. La actuación, autorizada judicialmente y ejecutada desde Boston, ha sido dirigida por el Departamento de Justicia y el FBI, que han intervenido directamente miles de dispositivos infectados.
Detrás de esta infraestructura se encuentra la Unidad Militar 26165 del GRU —la inteligencia militar rusa—, también conocida por varios alias como APT28, Fancy Bear o Sofacy. Se trata de un grupo con un largo historial de ciberataques contra instituciones occidentales, al que el propio Departamento de Justicia ya imputó en 2018 por su implicación en el hackeo del Comité Nacional Demócrata en 2016 y en la infiltración del Parlamento alemán en 2015.
Red de routers comprometidos
La red desarticulada no era residual. Llevaba operativa al menos desde 2024 y se apoyaba en miles de routers domésticos y de pequeñas oficinas distribuidos por todo el mundo, incluidos al menos 23 estados de Estados Unidos. Su funcionamiento combinaba sencillez técnica con una gran eficacia operativa: en lugar de atacar directamente sistemas protegidos, los agentes rusos optaban por comprometer el eslabón más débil de la cadena, el dispositivo que canaliza la conexión a internet.
El procedimiento consistía en explotar vulnerabilidades conocidas —especialmente en modelos de la marca TP-Link— para acceder al router y modificar su sistema de resolución de nombres (DNS). En la práctica, esto equivale a manipular la "guía telefónica" de internet: cuando el usuario intentaba acceder a una web legítima, era redirigido a servidores bajo control ruso sin percibirlo. Desde ahí, los atacantes podían interceptar comunicaciones, capturar contraseñas y suplantar servicios digitales.
El alcance del espionaje era considerable. Según datos aportados por Microsoft, que colaboró en la investigación, se han identificado más de 200 organizaciones afectadas y unos 5.000 dispositivos comprometidos. Por su parte, la firma Lumen Technologies precisó que los objetivos prioritarios incluían agencias gubernamentales, ministerios de exteriores y organismos de seguridad en distintas regiones del mundo, desde Europa hasta el sudeste asiático, pasando por el norte de África o América Central.
Ataque en dos fases
El ataque seguía una lógica escalonada. En una primera fase, masiva e indiscriminada, se infectaba el mayor número posible de routers. Posteriormente, los sistemas del GRU filtraban la información obtenida para seleccionar objetivos de alto valor. Solo entonces se activaban técnicas más intrusivas, como la suplantación de servicios corporativos —incluidos entornos de correo— para robar credenciales específicas.
La respuesta estadounidense ha sido, en palabras de las autoridades, "quirúrgica". Lejos de limitarse a emitir advertencias, el FBI actuó directamente sobre los dispositivos dentro de su jurisdicción. Mediante comandos autorizados por un tribunal, logró recopilar pruebas, eliminar las configuraciones maliciosas, restaurar los sistemas y bloquear el acceso de los atacantes, todo ello sin afectar al funcionamiento normal de los equipos. No obstante, los propietarios pueden revertir estos cambios si realizan un restablecimiento de fábrica.
"El programa cibernético de Rusia es una amenaza permanente", advirtió el subdirector de la División Cibernética del FBI, Brett Leatherman, en declaraciones recogidas por Reuters, subrayando que sin esta intervención la sustracción de información sensible habría continuado.
Sin España en la operación
La operación —denominada en algunos ámbitos como "Masquerade"— ha contado con la colaboración de una amplia red internacional. Más de una decena de países, entre ellos Canadá, Alemania, Italia, Polonia, Rumanía, Ucrania o Portugal, han participado en el esfuerzo conjunto, junto a agencias como el Centro Nacional de Ciberseguridad británico, dependiente del GCHQ, que alertó de que la campaña comenzaba de forma oportunista antes de centrarse en objetivos concretos.
En ese contexto, vuelve a llamar la atención la ausencia de España entre los países que figuran en la respuesta coordinada. Aunque el comunicado no detalla todos los territorios afectados, sí identifica a los socios implicados, y Madrid no aparece en la lista pese a su participación previa en iniciativas similares. Fuentes citadas por ABC ya apuntaron en 2025 a una revisión por parte de Washington de ciertos canales de intercambio de inteligencia con España, en un clima marcado por la presencia de tecnología vinculada a China.
En cualquier caso, esa ausencia no implica que España haya quedado al margen de la amenaza. Dado el carácter masivo de la operación del GRU, routers ubicados en territorio español podrían haber sido igualmente comprometidos, convirtiendo a usuarios particulares y pequeñas empresas en piezas involuntarias de una red global de espionaje al servicio de Moscú.