En una operación coordinada con el Departamento de Justicia y aliados internacionales, el FBI logró desactivar una infraestructura de espionaje digital que se apoyaba en dispositivos domésticos. Las autoridades llaman al operativo Operación Masquerade y lo atribuyen a la Unidad Militar 26165, vinculada al GRU. Según los informes oficiales, la campaña tomó el control de miles de routers en al menos 23 estados de Estados Unidos y, con alcance global según análisis privados, afectó a decenas de miles de equipos.
El peligro de este tipo de ataques reside en su sigilo: los usuarios no percibían fallos visibles, pero el tráfico era desviado para capturar información. Empresas como Microsoft y firmas de ciberseguridad como Black Lotus Labs identificaron cientos de organizaciones afectadas y miles de dispositivos comprometidos. En paralelo, las agencias de seguridad de múltiples países colaboraron para cortar los canales usados por los perpetradores y restaurar la operatividad de los equipos.
Qué fue la Operación Masquerade
La denominada Operación Masquerade es una campaña de ciberespionaje atribuida a la Unidad Militar 26165, conocida por alias como APT28 o Fancy Bear. Las autoridades explican que el grupo creó una botnet que aprovechó vulnerabilidades en routers domésticos y de pequeñas oficinas para redirigir el tráfico hacia servidores controlados por los atacantes. Este desvío permitió capturar credenciales y tokens que no estaban protegidos por cifrado, y seleccionar objetivos de valor mediante filtros automáticos aplicados sobre el tráfico interceptado.
Cómo funcionaba la red y por qué era difícil detectarla
El mecanismo técnico se basaba en el control del sistema de resolución de nombres: manipulando el DNS en los routers comprometidos, los operadores podían reemplazar destinos legítimos por servidores maliciosos. En términos simples, el equipo doméstico seguía funcionando para el usuario, pero algunas consultas eran redirigidas hacia infraestructura bajo control remoto. Este tipo de ataque aprovecha configuraciones sin actualizar, contraseñas por defecto o la administración remota sin protección.
Los atacantes actuaban en dos fases: primero desplegaban una campaña masiva para comprometer el mayor número posible de routers; después aplicaban filtros automáticos que identificaban conexiones de interés. Solo entonces activaban la interceptación activa para capturar datos de objetivos específicos, como cuentas de correo corporativo o credenciales de acceso a servicios críticos. Este enfoque, que los especialistas describen como oportunista pero selectivo, reduce la probabilidad de detección temprana.
Detalles técnicos clave
Entre las técnicas empleadas se sobresalen el aprovechamiento de firmware desactualizado, el uso de credenciales predeterminadas y la explotación de servicios de administración remota sin autenticación fuerte. En ciberseguridad estos métodos se engloban en vectores clásicos, pero su impacto se multiplica cuando se combinan con el control del DNS. Los expertos también alertaron sobre el robo de tokens OAuth y credenciales de plataformas corporativas cuando las conexiones no estaban cifradas de extremo a extremo.
Qué hizo el FBI y cuál fue el alcance de la respuesta
Con autorización judicial, el FBI envió comandos a los equipos afectados dentro de Estados Unidos para recopilar evidencia, restaurar configuraciones y bloquear el acceso de los operadores. La acción no interrumpió la conexión visible de los usuarios, pero permitió cortar las vías de control empleadas por el grupo. La operación contó con la colaboración de al menos 15 países y de proveedores privados que facilitaron la identificación de servidores y de dispositivos comprometidos.
Recomendaciones para usuarios y cierre
Aun cuando la infraestructura desmantelada ya no esté operativa, las autoridades insisten en reforzar la seguridad doméstica. Las recomendaciones básicas incluyen actualizar el firmware del router cuando el fabricante lo publique, cambiar las contraseñas predeterminadas por claves robustas, desactivar servicios innecesarios como la administración remota y restablecer a valores de fábrica si se sospecha una intrusión. Estas medidas simples reducen significativamente el riesgo de que dispositivos cotidianos sean convertidos en herramientas de espionaje.
