La Agencia de Seguridad Nacional de Estados Unidos (NSA) emitió este lunes una alerta en la que atribuye al Centro 16 del Servicio Federal de Seguridad ruso (FSB) una campaña sistemática de intrusión en routers y otros dispositivos de red con configuraciones con poca seguridad o desactualizadas. El aviso, elaborado junto a 17 organismos de ciberseguridad de otros 11 países, identifica los sectores más expuestos —defensa, energía, comunicaciones, finanzas, instalaciones gubernamentales y salud— y urge a los operadores a aplicar medidas para cerrar las vías de acceso que los hackers rusos han venido aprovechando durante más de una década.
La advertencia de Washington no llega de forma aislada. Horas antes, el National Cyber Security Centre (NCSC) del Reino Unido, dependiente del cuartel general de inteligencia de señales GCHQ, había publicado una guía paralela con idéntico foco: el Centro 16 actúa de forma oportunista contra redes estratégicas en todo el mundo, y los fallos de configuración básica en los dispositivos de red siguen siendo su principal vía de entrada. La publicación coordinada de ambos avisos coincidió con el anuncio de las primeras sanciones conjuntas entre Londres y Bruselas contra miembros de esa unidad del FSB desde el Brexit. El detonante fue el ataque del 29 de diciembre de 2025 contra la red eléctrica de Polonia, atribuido formalmente al Centro 16, que habría podido dejar sin suministro a 500.000 ciudadanos en pleno invierno. El malware empleado fue DynoWiper, una herramienta destructiva asociada históricamente a operaciones del Estado ruso. La operación fracasó, pero por escaso margen.
La Agencia de Seguridad Nacional de Estados Unidos (NSA) emitió este lunes una alerta en la que atribuye al Centro 16 del Servicio Federal de Seguridad ruso (FSB) una campaña sistemática de intrusión en routers y otros dispositivos de red con configuraciones con poca seguridad o desactualizadas. El aviso, elaborado junto a 17 organismos de ciberseguridad de otros 11 países, identifica los sectores más expuestos —defensa, energía, comunicaciones, finanzas, instalaciones gubernamentales y salud— y urge a los operadores a aplicar medidas para cerrar las vías de acceso que los hackers rusos han venido aprovechando durante más de una década.
La advertencia de Washington no llega de forma aislada. Horas antes, el National Cyber Security Centre (NCSC) del Reino Unido, dependiente del cuartel general de inteligencia de señales GCHQ, había publicado una guía paralela con idéntico foco: el Centro 16 actúa de forma oportunista contra redes estratégicas en todo el mundo, y los fallos de configuración básica en los dispositivos de red siguen siendo su principal vía de entrada. La publicación coordinada de ambos avisos coincidió con el anuncio de las primeras sanciones conjuntas entre Londres y Bruselas contra miembros de esa unidad del FSB desde el Brexit. El detonante fue el ataque del 29 de diciembre de 2025 contra la red eléctrica de Polonia, atribuido formalmente al Centro 16, que habría podido dejar sin suministro a 500.000 ciudadanos en pleno invierno. El malware empleado fue DynoWiper, una herramienta destructiva asociada históricamente a operaciones del Estado ruso. La operación fracasó, pero por escaso margen.
La NSA y sus socios —entre los que figuran la Agencia de Ciberseguridad e Infraestructura (CISA), el FBI y organismos de Australia, Canadá, Nueva Zelanda, República Checa, Dinamarca, Estonia, Finlandia, Francia, Italia, Polonia y Suecia— señalan que el grupo, conocido también como Berserk Bear, Energetic Bear, Dragonfly o Static Tundra, lleva activo desde al menos la primera mitad de la década de 2010. Además del protocolo SNMP, ha explotado vulnerabilidades conocidas en la función Cisco Smart Install y en portales web de administración de dispositivos. Desde agosto de 2025, el FBI ya había documentado la recopilación de configuraciones de miles de equipos asociados a entidades estadounidenses de infraestructura crítica. El aviso de este lunes amplía ese diagnóstico con nuevas tácticas y añade un detalle significativo: las técnicas del Centro 16 se solapan en parte con las del actor vinculado a China conocido como Salt Typhoon, lo que sugiere que las debilidades explotadas por Moscú son las mismas que aprovechan otros servicios de inteligencia extranjeros.
Las medidas recomendadas son técnicamente accesibles: adoptar la versión 3 del protocolo SNMP —la única con cifrado y autenticación robusta—, desactivar la función Cisco Smart Install, establecer contraseñas únicas y fuertes en cada dispositivo de red, bloquear los protocolos TFTP y SMI en el cortafuegos, y mantener el firmware actualizado.
La cadencia de incidentes atribuidos a Rusia contra infraestructuras europeas se ha acelerado en los últimos meses. Suecia informó en abril de 2026 de que un grupo vinculado al FSB había atacado una planta de calefacción urbana. Francia atribuyó al mismo entorno operativo intrusiones contra sistemas ministeriales en 2014 y contra un instituto de investigación vinculado a la industria de defensa en febrero de 2025. El Kremlin ha negado de forma sistemática cualquier implicación. La coordinación entre 18 agencias de 12 países para publicar simultáneamente una guía técnica, imponer sanciones y atribuir formalmente un ataque concreto representa la respuesta occidental más amplia hasta la fecha, aunque el historial del Centro 16 —más de una década de operaciones sostenidas sin consecuencias apreciables— plantea dudas razonables sobre su capacidad disuasoria real.
Deultimominuto


