Cuando hablamos de ciberamenazas a nivel global, hay un actor que destaca por encima de todos los demás en volumen, sofisticación y ambición geopolítica: Rusia. Los grupos de hackers vinculados al estado ruso —ya sean directamente controlados por los servicios de inteligencia o tolerados mientras operen contra objetivos occidentales— representan una de las amenazas más serias para la seguridad digital de empresas, gobiernos e infraestructuras críticas en todo el mundo.
En este artículo analizamos en profundidad el ecosistema de ciberoperaciones rusas: los grupos más peligrosos, sus operaciones más sonadas, cómo funciona la relación entre el Kremlin y los hackers criminales, qué significa esto para las empresas europeas y cómo prepararse. Forma parte de nuestra serie sobre la historia del hacking y la ciberseguridad, que recorre la evolución de las amenazas digitales desde los pioneros hasta la ciberguerra actual.
El ecosistema ciber ruso: entre el estado y el crimen
Lo que hace al ecosistema ciber ruso particularmente peligroso es la relación simbiótica entre el estado y los grupos criminales. A diferencia de países como Estados Unidos o el Reino Unido, donde las agencias de inteligencia y los cibercriminales operan en lados opuestos de la ley, en Rusia la frontera entre ambos mundos es deliberadamente difusa.
Los servicios de inteligencia rusos —el FSB (heredero del KGB para asuntos internos y contrainteligencia), el GRU (inteligencia militar) y el SVR (inteligencia exterior)— operan sus propias unidades de ciberoperaciones con presupuestos estatales, personal militar o funcionario, y objetivos estratégicos definidos por el Kremlin. Estos son los grupos más sofisticados y peligrosos, responsables de operaciones de espionaje, sabotaje e interferencia electoral.
Pero junto a estos actores estatales existe un vasto ecosistema de cibercriminales que operan desde territorio ruso con una impunidad notable. Grupos de ransomware, redes de fraude financiero, operadores de botnets y vendedores de exploits funcionan abiertamente mientras cumplan una regla no escrita: no atacar objetivos dentro de Rusia o la CEI (Comunidad de Estados Independientes). De hecho, la mayoría del ransomware ruso incluye código que detecta la configuración de idioma del sistema y se autodestruye si detecta ruso, ucraniano, bielorruso u otros idiomas de la CEI.
Esta impunidad no es casual. El estado ruso se beneficia de la actividad criminal de múltiples formas: los ataques de ransomware contra empresas occidentales debilitan económicamente a sus adversarios, la experiencia técnica del ecosistema criminal proporciona un pool de talento del que los servicios de inteligencia pueden reclutar, y la existencia de una zona gris permite al Kremlin negar la responsabilidad de operaciones que le convienen políticamente.
APT28 (Fancy Bear): la unidad de hacking del GRU
APT28, también conocido como Fancy Bear, Sofacy, Pawn Storm o Sednit, es la unidad de ciberoperaciones más conocida del GRU (Unidad 26165 del 85º Centro de Servicios Especiales). Activo desde al menos 2004, APT28 ha sido responsable de algunas de las operaciones de ciberespionaje e interferencia política más impactantes de la historia reciente.
Su operación más mediática fue la interferencia en las elecciones presidenciales de Estados Unidos de 2016. APT28 penetró los servidores del Comité Nacional Demócrata (DNC) y del Comité de Campaña del Congreso Demócrata (DCCC), exfiltrando decenas de miles de correos electrónicos que fueron posteriormente publicados a través de WikiLeaks en momentos calculados para causar el máximo daño político. La operación fue acompañada de una campaña masiva de desinformación en redes sociales coordinada por la Internet Research Agency de San Petersburgo.
APT28 también ha sido atribuido el hackeo de la Agencia Mundial Antidopaje (WADA) en represalia por las sanciones contra atletas rusos, ataques contra parlamentos y ministerios de defensa de países de la OTAN, campañas de phishing dirigidas contra periodistas, ONGs y opositores del gobierno ruso, y el ataque a la emisora de televisión francesa TV5Monde en 2015, que causó la interrupción de la emisión durante horas.
APT29 (Cozy Bear): el espionaje silencioso del SVR
APT29, conocido como Cozy Bear, The Dukes o Nobelium, está vinculado al SVR (Servicio de Inteligencia Exterior de Rusia). A diferencia de APT28, que a menudo busca impacto público y desestabilización, APT29 es un actor de espionaje puro: su objetivo es infiltrarse en redes de alto valor, mantener acceso persistente durante meses o años, y extraer información de inteligencia de forma sigilosa.
La operación más significativa de APT29 fue el ataque a SolarWinds en 2020, considerado uno de los ciberataques más sofisticados de la historia. El grupo comprometió el sistema de actualización de software de SolarWinds Orion, una plataforma de gestión de redes utilizada por más de 30.000 organizaciones, incluyendo agencias del gobierno estadounidense (Departamento del Tesoro, Departamento de Comercio, Departamento de Seguridad Nacional), empresas del Fortune 500 y contratistas de defensa. La actualización troyanizada se distribuyó a unos 18.000 clientes, de los cuales se estima que APT29 seleccionó y explotó activamente a varios cientos.
Lo que hizo al ataque de SolarWinds particularmente alarmante fue su sofisticación técnica: el código malicioso se integraba de forma indistinguible en el software legítimo, esperaba semanas antes de activarse, utilizaba comunicaciones que imitaban el tráfico normal de SolarWinds, y empleaba técnicas de evasión que superaban las capacidades de detección de la mayoría de las herramientas de seguridad existentes.
Sandworm: el equipo de sabotaje del GRU
Sandworm (Unidad 74455 del GRU), también conocido como Voodoo Bear o Iridium, es probablemente el grupo de hackers más destructivo del mundo. Mientras APT28 y APT29 se centran en espionaje e interferencia, Sandworm se especializa en operaciones de sabotaje diseñadas para causar daño físico y disrupciones masivas.
Sandworm fue responsable de los ataques contra la red eléctrica de Ucrania en 2015 y 2016, que dejaron a cientos de miles de personas sin electricidad en pleno invierno. Fueron los primeros ciberataques confirmados que causaron un apagón eléctrico, demostrando que la ciberguerra podía tener consecuencias físicas directas y potencialmente letales.
Sandworm también fue responsable de NotPetya en 2017, el ciberataque más costoso de la historia. Aunque disfrazado de ransomware, NotPetya era en realidad un «wiper» diseñado para destruir datos irreversiblemente. Lanzado inicialmente contra Ucrania a través de una actualización comprometida del software de contabilidad M.E.Doc, se propagó globalmente y causó daños estimados en más de 10.000 millones de dólares.
Con la invasión de Ucrania en 2022, Sandworm intensificó sus operaciones: lanzó múltiples wipers (CaddyWiper, HermeticWiper, IsaacWiper) contra infraestructura ucraniana, atacó redes de comunicaciones, y coordinó ciberataques con operaciones militares cinéticas. Los hackers ucranianos respondieron con operaciones defensivas y ofensivas propias, creando un campo de batalla cibernético sin precedentes.
Los grupos de ransomware rusos
Junto a los actores estatales, Rusia alberga algunos de los grupos de ransomware más prolíficos y destructivos del mundo. LockBit, que durante años fue el grupo de ransomware más activo globalmente, operaba desde Rusia y países de la CEI. A pesar de la operación internacional «Operation Cronos» que desarticuló parte de su infraestructura en 2024, el grupo ha intentado reconstituirse en múltiples ocasiones.
Conti, antes de su disolución, fue responsable de ataques devastadores contra hospitales (incluyendo el sistema de salud de Irlanda), ayuntamientos y empresas de todo el mundo. Su apoyo público a la invasión rusa de Ucrania provocó la filtración de sus comunicaciones internas por parte de un miembro ucraniano, proporcionando una visión sin precedentes del funcionamiento interno de un grupo de ransomware.
Otros grupos rusos notables incluyen Evil Corp (liderado por Maksim Yakubets, que tiene una recompensa del FBI de 5 millones de dólares por su captura y cuyo padre supuestamente trabaja para el FSB), REvil/Sodinokibi (responsable del ataque a Kaseya que afectó a más de 1.500 empresas), y Cl0p (especializado en la explotación de vulnerabilidades de día cero en software de transferencia de archivos).
La dimensión europea: amenazas para España y la UE
Para las empresas europeas —y españolas en particular—, la amenaza rusa es real y creciente. España, como miembro de la OTAN y la UE, es un objetivo legítimo para operaciones de espionaje e influencia del Kremlin. El CNI (Centro Nacional de Inteligencia) ha alertado en múltiples ocasiones sobre campañas de ciberespionaje dirigidas contra instituciones gubernamentales, empresas del sector defensa e infraestructuras críticas españolas.
Pero más allá de las operaciones estatales, las empresas españolas son objetivos habituales de los grupos de ransomware rusos. Hospitales, ayuntamientos, universidades y empresas privadas de todos los tamaños han sufrido ataques de ransomware atribuidos a grupos con base en Rusia. La directiva NIS2 de la UE, que amplía significativamente las obligaciones de ciberseguridad para empresas de sectores considerados esenciales e importantes, es en parte una respuesta a esta amenaza creciente.
Para las pymes españolas, la amenaza puede parecer abstracta o lejana, pero la realidad es que los ataques automatizados no distinguen fronteras. Un bot que escanea internet buscando servidores WordPress desactualizados o servicios RDP expuestos encontrará y atacará objetivos en España con la misma facilidad que en cualquier otro país.
Cómo proteger tu empresa de las amenazas rusas
La protección contra actores de amenaza tan sofisticados como los grupos rusos requiere un enfoque integral que combine tecnología, procesos y formación humana.
Las medidas técnicas prioritarias incluyen implementar autenticación multifactor en todos los accesos remotos, mantener todos los sistemas actualizados con los últimos parches de seguridad, segmentar las redes para limitar el movimiento lateral, implementar soluciones de detección y respuesta en endpoints (EDR), monitorizar el tráfico de red para detectar comunicaciones anómalas, y mantener copias de seguridad inmutables y probadas.
Las medidas organizativas son igualmente importantes: realizar ejercicios de simulación de incidentes (tabletop exercises), mantener un plan de respuesta ante incidentes documentado y actualizado, establecer relaciones con el INCIBE y las fuerzas de seguridad antes de que ocurra un incidente, y compartir inteligencia de amenazas con otros actores del sector.
Para empresas que no cuentan con equipos internos de seguridad, la externalización a proveedores especializados es la opción más realista. En Keliam, nuestro servicio de auditoría de seguridad y pentesting evalúa las defensas de tu organización contra los vectores de ataque más utilizados por los grupos rusos y otros actores de amenaza. Nuestro mantenimiento web garantiza que tus sistemas estén siempre actualizados y monitorizados, y nuestra experiencia en seguridad de servidores nos permite adaptar las defensas a cualquier presupuesto.
⚔️ ¿Tu empresa está preparada para la ciberguerra?
Los grupos de hackers rusos atacan empresas europeas a diario. No necesitas ser un objetivo estratégico: los bots automatizados no hacen distinciones.
- Auditoría de seguridad y Pentesting — Evalúa tus defensas contra amenazas reales
- Mantenimiento web — Protección continua y actualizada
- Auditoría técnica — Análisis integral de infraestructura
