A finales de enero pasado, los afectados eran cuatro operadores de un sector industrial español clave. En febrero, el Centro Criptológico Nacional constataba que los atacantes habían volcado la configuración de 90 routers; trataban de extenderse a los clientes de la firma. En septiembre lo volvieron a intentar en otros 22. Detrás de las intrusiones ha resultado estar Salt Typhoon, uno de los entramados de ciberespionaje más perseguidos en Occidente.
Atacan a cuentas de correo de directivos de pequeñas empresas para colarse en las grandes a las que prestan servicios, tratan de instalar ojos en los componentes de la cadena de suministro al Ejército, intentan colarse en rincones clave de la Administración del Estado por los puntos débiles de diputaciones o ayuntamientos… Entre un total no desvelado de enemigos, seis agrupaciones o comandos de hackers al servicio de estados despuntan por su peligro y la persistencia de los ataques contra España y su entorno estratégico, confirman a EL PERIÓDICO fuentes de la seguridad del Estado.
En ese ámbito los llaman “actores de Estado” y -sin contar el cibercrimen, con su propia lista de enemigos públicos- son el núcleo de amenaza militar más activa contra este país. El principal obstáculo en el dominio cibernético es la oscuridad, la dificultad de atribuir, saber quién está atacando. Pero las formas de proceder delatan el patrocinio, si no mando directo, de Rusia y China tras la mayoría de los agresores de esta lista: además de Salt Typhoon, Turla, APT15, APT29, APT28, Lazarus Group y Laundry Beard.
Por debajo del radar
Sus acciones se diferencian del phising de estafadores o el ransomware de ladrones online de hecho, reciben el nombre de “ataques de Estado”. Sus autores “tratan de pasar por debajo del radar -explica un miembro de la lucha contra el ciberespionaje-, y muestran una capacidad técnica a menudo superior a la de los ciberdelincuentes”.
Por la conexión entre países OTAN, a estos agresores también los han localizado otros servicios de inteligencia, norteamericanos, británicos y holandeses principalmente. Las siglas APT con que frecuentemente se denominan, aluden (traducidas) a las amenazas persistentes avanzadas.
La actividad en España de seis de los siete mencionados es intensa. Responden a distintas agencias de un mismo gobierno, y “a veces se cruzan entre ellos, cuando coinciden en sus objetivos”, relata la fuente mencionada.
Es el caso de los comandos APT28 y APT29. Del primero sus integrantes han utilizado numerosos alias; el más conocido es Fancy Bear (Oso elegante). Está reconocido como herramienta del GRU, el servicio militar de inteligencia de la Federación Rusa. Es, de hecho, el que en 2023, iniciada la invasión de Ucrania, atacó a una app Android que la artillería ucraniana utilizaba para emplazar baterías y recibir datos de tiro.
Se acreditó que llevaban tiempo colados en ese sistema y se habían librado de la purga previa a la guerra. En los seis meses anteriores al comienzo de la invasión, en febrero de 2022, expertos norteamericanos ayudaron a Ucrania a limpiar numerosas incursiones cibernéticas rusas que precedieron al conflicto. “Estaban por todas partes, en los transportes, en la sanidad, en la energía…”, cuenta un especialista del ministerio de Defensa.
Las trazas en España de este grupo se juntan y separan, engordan y adelgazan, evidenciando que no es estático en su composición.
La APT29, a la que el Centro Criptológico Nacional -CCN, dependiente del CNI- habría detectado tratando de captar información de activos españoles, actúa con las TTP (técnicas, tácticas y procedimientos) propios del SVR, el servicio de espionaje exterior del Kremlin. En el confuso mundillo de estos grupos atacantes, APT29 es conocido también como Midnight Blizzard (Ventisca de media noche) y ha utilizado otros 29 nombres en acciones diversas: Minidionis, Nobelium, Yttrium, Blue Bravo…
Su actividad no es nueva. En su último informe sobre amenazas y tendencias, sobre datos de 2023, el CCN tilda a la Federación Rusa de “uno de los actores cibernéticos más prolíficos del mundo”.
Vigilar en silencio
El objetivo del atacante de Estado no es precisamente que se le vea, sino entrar en sistemas informáticos críticos de un país y permanecer silente durante años, observando, copiando información… y derribarlo si en algún momento lo precisa o, como tiene explicado el vicealmirante Javier Roca, comandante del Mando Conjunto del Ciberespacio, “tratar de ponernos de rodillas cuando le venga bien”.
Los ciberespías que topan con muros sólidos en los puntos clave de la administración tratarán de introducirse por puertas más débiles. Por ejemplo, la Policía Municipal de un ayuntamiento sin muchos medios, que está conectada al archivo de la DGT para consultar multas y…
Javier Candau, subdirector general del Centro Criptológico Nacional (CCN), dependiente del CNI / El Periódico
Los «episodios críticos» de ciberespionaje detectados por el CCN han sido 278 en lo que va de año, con un crecimiento de 293%. De esos casos, 128 eran de ciberespionaje.
El crecimiento es muy llamativo, pero Javier Candau, subdirector general del CCN, coloca la cifra en sus términos: “No es que ataquen mucho a España, es que en España detectamos más que en otros países de la UE”, explica. El organismo que dirige ha gestionado 200.000 incidentes el último año. De esos, 140.000 procedían de alertas de la comunidad de ciberinteligencia española: “Son comunidades autónomas, organismos de la Administración, entidades públicas y empresas con las que trabajamos y nos reportan incidentes -cuenta Candau-. Cuando alguien puede considerar que España es el país más atacado por contar 200.000 incidentes, yo le digo que España es el país que mejor detecta, porque compartimos más y tenemos mejores herramientas”.
Es un sistema propio de “un país descentralizado pero hiperconectado”, dice Candau. De la experiencia que se adquiere parando ataques se acumula información con la que construir una herramienta de ciberinteligencia. Se llama Reyes, y es un proyecto del CCN y del Mando Conjunto del Ciberespacio.
De Reyes se benefician más de 500 organismos y más de 2.000 usuarios de las administraciones públicas. Parte de la experiencia adquirida por la herramienta llega de la actividad de otra arma con nombre de mujer: Elsa. Su nombre viene de las siglas de Exposición Local y Superficie de Ataque. Permite observar el riesgo de los activos conectados a Internet. Ya tiene más de 8.500 organismos examinados. Los números dan idea del volumen del trabajo: 18.646.973 direcciones IP monitorizadas, y 480,3 millones de puertos analizados solo en la administración pública, según el último parte de esta guerra silenciosa elevado a la ministra de Defensa.
La sombra del FSB
La lista de amenazas tiene entre las veteranas a APT15, grupo al que los expertos consultados le atribuyen dependencia rusa y que puede tener integrantes de los otros mencionados. “Utiliza técnicas menos previsibles que las de los chinos”, comenta una de las fuentes militares mencionadas. Se le detectó una actividad intensa en España a partir de enero de 2024, y se le apuntan acciones en este país desde 2015.
Sus objetivos son correos de diplomáticos, redes gubernamentales y empresas relacionadas con el Gobierno, así como millares de routers caseros.
Una alerta de Kaspersky sobre el malware Snake que utiliza el grupo de hackers Turla. Entre los objetivos que señala, embajadas y unidades militares / El Periódico
En la lucha contra el ciberespionaje consideran una herramienta del FSB (antiguo KGB ruso) a Turla, y su sistema de infección Snake. En España lleva ya 15 años activada, con un intensidad creciente desde 2010 hasta 2017. Diplomáticos y Defensa son sus objetivos más habituales. La otra arma que utiliza es un malware, Kazuar, con el tratan de violar la seguridad de correos electrónicos y VPNs. Laboratorios especializados en ciberseguridad han señalado campos de interés de estos hackers: organismos gubernamentales, embajadas, unidades militares, firmas farmacéuticas y universidades.
Nuevos en el barrio
Desde 2022 se ha seguido el rastro de intromisiones de origen chino en puntos sensibles del ecosistema digital. En 2025 que se ha concretado su actividad con el nombre de Salt Typhoon.
El grupo -descrito en septiembre en una alerta conjunta de varios servicios de inteligencia que en España coincidió con la polémica por la contratación de hardware de la firma china Huawei para Interior- se ha centrado en esta orilla del Atlántico en empresas de telecomunicaciones y proveedores de internet, con el supuesto objetivo de invadir routers empresariales, copiar credenciales de acceso y explotar vulnerabilidades de los sistemas.
Sobre esta actividad ha advertido el CNI en el informe anual del CCN, señalando a China: “Tiene las competencias cibernéticas y las capacidades de ciberguerra más avanzadas de Asia” y cuenta con “un ecosistema de ciberespionaje maduro”, dice. Próximamente va a ser publicado un nuevo informe que ultima el CNI.
Lazarus Group ha emergido también como nueva expresión de la capacidad de Corea del Norte para robar información sobre armamento y tecnología en países occidentales. Corea del Sur y Estados Unidos son su foco de interés. Y en ese empeño pueden quedar comprendidas compañías españolas que entregan o reciben servicios a entidades de esos países.
La huella de la garra del oso ruso, en unos pantallazos publicados por los hacktivistas proKremlin NoName057 tras el ataque contra España de junio pasado / El Periódico
Y una nueva marca, quizá fusión de partes de otras APT, se atribuye también al ciberespionaje ruso: Laundry Bear, descrito por el servicio de inteligencia neerlandés. Sus investigadores le atribuyen ciberespionaje sobre “objetivos occidentales críticos” desde 2024, sobre todo proveedores de internet, contratistas militares, ejércitos y entidades socioculturales.
A por los políticos
Al club de la ciberguerra se ha unido India. Son nuevas sus capacidades en el campo de batalla cibernético, y Pakistán y China son sus principales objetivos. “Actúan en su contesto geopolítico”, comenta la fuente de Defensa.
Otros países que no tienen esas capacidades, como los del Magreb, las compran. El caso más visible para España es el de Marruecos con el spyware Pegasus, comprado a la firma israelí NSO.
El asalto a los móviles de miembros del Gobierno no es la única ofensiva. Más recientemente, el interés de actores extranjeros está también en los datos personales de miembros de la clase política, información en cuyo robo puede haber ósmosis con grupos criminales y pequeños actores, como los que en España volcaron en la web oscura teléfonos y domicilios de numerosos servidores y dirigentes del Estado.
Los asaltantes intentan aprovechar momentos de saturación de las defensas, como durante el apagón del 28 de abril. En definitiva buscan en España “lo mismo que buscan en Francia, en Alemania, en Italia… Buscan secretos de Estado y patrimonio tecnológico de las empresas para copiarlo. Si España es buena en energías renovables o construcción de buques, buscarán en ese sector”, explica Javier Candau. Al fin y al cabo, dice, “un país es más ciberatacado cuanto más población y mejor transición digital tiene”.
Suscríbete para seguir leyendo