La Agencia de Seguridad Nacional de Estados Unidos (NSA) emitió este lunes una alerta en la que atribuye al Centro 16 del Servicio Federal de Seguridad de Rusia (FSB) una campaña sostenida de ciberespionaje dirigida contra routers y otros dispositivos de red con configuraciones inseguras o desactualizadas.
El aviso fue elaborado de manera conjunta con 17 organismos de ciberseguridad de 11 países, que advirtieron sobre el riesgo para sectores considerados estratégicos, entre ellos defensa, energía, telecomunicaciones, finanzas, salud e instituciones gubernamentales.
Las agencias instaron a empresas y administraciones públicas a reforzar de inmediato la seguridad de sus equipos de red para impedir que los atacantes continúen explotando vulnerabilidades conocidas.
Reino Unido también advirtió sobre las operaciones del Centro 16
La alerta de Washington coincidió con la publicación de un informe similar por parte del National Cyber Security Centre (NCSC) del Reino Unido, organismo dependiente del GCHQ, la agencia británica de inteligencia de señales.
Según ambos informes, el Centro 16 del FSB mantiene desde hace más de una década una campaña de intrusiones oportunistas contra redes estratégicas en distintos países, aprovechando configuraciones deficientes en routers y otros dispositivos conectados a internet.
La publicación coordinada de los reportes se produjo el mismo día en que Reino Unido y la Unión Europea anunciaron nuevas sanciones contra integrantes de esta unidad de inteligencia rusa, las primeras impuestas de forma conjunta desde el Brexit.
El ataque contra la red eléctrica de Polonia
Las sanciones están relacionadas con el presunto ataque cibernético perpetrado el 29 de diciembre de 2025 contra la red eléctrica de Polonia, atribuido oficialmente al Centro 16 del FSB.
De acuerdo con las investigaciones, el objetivo era interrumpir el suministro eléctrico a cerca de 500.000 personas en pleno invierno mediante el uso del malware destructivo DynoWiper, una herramienta vinculada anteriormente a operaciones patrocinadas por el Estado ruso.
Aunque el ataque finalmente no logró su objetivo, las autoridades europeas señalaron que estuvo cerca de provocar un apagón de gran magnitud.
¿Cómo operan los hackers?
Según la NSA, los atacantes buscan en internet routers y equipos de red que aún utilizan contraseñas predeterminadas o configuraciones inseguras del protocolo SNMP (Simple Network Management Protocol), como las claves «public» o «private», que muchos administradores nunca modifican.
Una vez identifican un dispositivo vulnerable, los operadores extraen de forma remota el archivo de configuración del equipo mediante el protocolo TFTP y lo transfieren a servidores bajo su control.
Ese archivo contiene información altamente sensible, como:
- Credenciales de acceso.
- Reglas de cortafuegos.
- Tablas de enrutamiento.
- Configuración de subredes.
- Arquitectura completa de la infraestructura informática.
Con estos datos, los atacantes pueden comprender el funcionamiento interno de una red y preparar futuras operaciones de espionaje o sabotaje sin necesidad de desplegar malware de forma inmediata.
Recomendaciones para reducir el riesgo
Las agencias de ciberseguridad recomendaron a organizaciones públicas y privadas adoptar medidas urgentes para reforzar la protección de sus redes, entre ellas:
- Cambiar todas las contraseñas predeterminadas de routers y dispositivos de red.
- Desactivar protocolos inseguros cuando no sean necesarios.
- Actualizar el firmware de los equipos.
- Limitar el acceso remoto únicamente al personal autorizado.
- Supervisar continuamente la actividad de la red para detectar comportamientos sospechosos.
Las autoridades advirtieron que estas campañas continúan activas y podrían afectar a organizaciones de cualquier país que mantengan equipos con configuraciones vulnerables.

