FOTO DE ARCHIVO: Un hombre teclea en un teclado

REUTERS/Steve Marcus/Foto de archivo/Foto de archivoLa Agencia de Seguridad Nacional de Estados Unidos (NSA) emitió este lunes una alerta en la que atribuye al Centro 16 del Servicio Federal de Seguridad ruso (FSB) una campaña sistemática de intrusión en routers y otros dispositivos de red con configuraciones con poca seguridad o desactualizadas. El aviso, elaborado junto a 17 organismos de ciberseguridad de otros 11 países, identifica los sectores más expuestos —defensa, energía, comunicaciones, finanzas, instalaciones gubernamentales y salud— y urge a los operadores a aplicar medidas para cerrar las vías de acceso que los hackers rusos han venido aprovechando durante más de una década.La advertencia de Washington no llega de forma aislada. Horas antes, el National Cyber Security Centre (NCSC) del Reino Unido, dependiente del cuartel general de inteligencia de señales GCHQ, había publicado una guía paralela con idéntico foco: el Centro 16 actúa de forma oportunista contra redes estratégicas en todo el mundo, y los fallos de configuración básica en los dispositivos de red siguen siendo su principal vía de entrada. La publicación coordinada de ambos avisos coincidió con el anuncio de las primeras sanciones conjuntas entre Londres y Bruselas contra miembros de esa unidad del FSB desde el Brexit. El detonante fue el ataque del 29 de diciembre de 2025 contra la red eléctrica de Polonia, atribuido formalmente al Centro 16, que habría podido dejar sin suministro a 500.000 ciudadanos en pleno invierno. El malware empleado fue DynoWiper, una herramienta destructiva asociada históricamente a operaciones del Estado ruso. La operación fracasó, pero por escaso margen.PUBLICIDADEl mecanismo técnico que describe el aviso es revelador. El Centro 16 rastrea internet en busca de routers que aún utilizan contraseñas predeterminadas o cadenas comunitarias inseguras del protocolo SNMP —claves como “public” o “private” que los fabricantes incluyen por defecto y que muchos administradores nunca cambian—. Una vez identificado un dispositivo vulnerable, los operativos emiten comandos SNMP para copiar su archivo de configuración y lo redirigen, mediante el protocolo de transferencia TFTP, a servidores bajo su control. Ese archivo contiene, en la práctica, un mapa completo de la red: tablas de enrutamiento, reglas de cortafuegos, credenciales almacenadas y arquitectura de subredes. Para una operación de inteligencia que busca comprender el interior de una red sin disparar las alarmas de detección de intrusos, ese documento es, según el aviso, más valioso que la mayor parte del malware convencional.FOTO DE ARCHIVO: Un hombre sostiene una computadora portátil mientras se proyecta código cibernético sobre ella en esta ilustración tomada el 13 de mayo de 2017