Vídeos relacionados:
El Departamento de Justicia de Estados Unidos y el FBI ejecutaron ayer una operación técnica autorizada judicialmente para desmantelar una red de routers domésticos comprometidos por la inteligencia militar rusa en más de 23 estados del país, en lo que las autoridades bautizaron como Operación Masquerade.
La acción neutralizó la infraestructura de espionaje de la Unidad Militar 26165 del Directorio de Inteligencia Principal del Estado Mayor ruso (GRU), también conocida como APT28, Fancy Bear o Forest Blizzard, cuya campaña estaba activa desde al menos 2024 en territorio estadounidense.
Desde ese año, los agentes del GRU explotaron vulnerabilidades conocidas en miles de routers de la marca TP-Link instalados en hogares y pequeñas oficinas para manipular su configuración DNS —el sistema que traduce nombres de dominio en direcciones numéricas— y redirigir las consultas de los usuarios a servidores bajo control ruso.
El ataque operaba en dos fases: primero comprometían de forma masiva e indiscriminada el mayor número posible de dispositivos; luego aplicaban filtros automáticos para identificar conexiones de interés y activar la interceptación activa sobre objetivos seleccionados. Para esos objetivos, los servidores del GRU suplantaban servicios legítimos como Microsoft Outlook Web Access para capturar contraseñas, tokens de autenticación y correos electrónicos sin que las víctimas lo advirtieran.
Microsoft, que colaboró con el FBI, identificó más de 200 organizaciones y 5,000 dispositivos afectados. Black Lotus Labs de Lumen Technologies detectó víctimas en Estados Unidos, Europa, Afganistán, norte de África, América Central y el sudeste asiático, con foco en agencias gubernamentales, ministerios de exteriores y organismos de seguridad.
La operación fue liderada por la Oficina del FBI en Boston, con apoyo de la oficina de Filadelfia, la División Cibernética y la Fiscalía del Distrito Este de Pensilvania, donde se desclasificaron los documentos judiciales. La acción contó además con socios en 15 países; el Centro Nacional de Ciberseguridad del Reino Unido y Alemania emitieron alertas coordinadas el mismo día.
El FBI desarrolló una serie de comandos enviados directamente a los routers comprometidos para recopilar evidencia, restaurar la configuración DNS legítima y bloquear el acceso no autorizado del GRU, sin afectar el funcionamiento normal de los equipos ni recopilar contenido de los usuarios. Los propietarios pueden revertir los cambios en cualquier momento mediante un restablecimiento de fábrica.
Archivado en: