Principales puntos
- Hackers vinculados a Rusia, China, Corea del Norte e Irán intensifican ataques directos contra empleados de la industria de defensa.
- Las campañas evitan los sistemas corporativos y se enfocan en correos personales, reclutamiento y apps de mensajería.
- Google advierte que los ataques personalizados son más difíciles de detectar y protegen operaciones de espionaje a largo plazo.
Un nuevo informe del Grupo de Inteligencia de Amenazas de Google advierte sobre la escalada del ciberespionaje patrocinado por Estados contra el sector defensa.
El documento, publicado antes de la Conferencia de Seguridad de Múnich, revela un cambio estratégico claro: los atacantes están dejando de lado la infraestructura técnica para concentrarse directamente en las personas.
Según Google, la llamada capa humana de la cadena de suministro de defensa se ha convertido en el eslabón más vulnerable. Al explotar hábitos, rutinas y canales personales, los atacantes logran esquivar controles de seguridad corporativos cada vez más robustos.
El individuo se convierte en el principal objetivo
Las campañas analizadas muestran ataques altamente personalizados, diseñados para parecer comunicaciones legítimas.
Falsas ofertas de empleo, supuestos reclutadores y mensajes adaptados al perfil de cada profesional se usan como puerta de entrada. Cuando el compromiso ocurre en dispositivos personales, la detección se vuelve mucho más compleja para los equipos de seguridad.
Este enfoque permite a los atacantes acceder de forma indirecta a información sensible, procesos internos y tecnologías clave, incluidas aquellas relacionadas con el conflicto en Ucrania.
Corea del Norte y China amplían sus operaciones
El informe destaca que actores vinculados a Corea del Norte lograron infiltrarse en más de cien empresas estadounidenses al obtener empleos remotos de TI mediante identidades falsas o sintéticas.
En algunos casos, estos operativos habrían robado datos sensibles de compañías de defensa que trabajan con inteligencia artificial.
China aparece como la amenaza más activa en volumen. Desde 2020, grupos asociados al país explotaron decenas de vulnerabilidades zero-day en dispositivos de red como VPN, routers y firewalls, especialmente aquellos con capacidades limitadas de monitoreo avanzado.
Rusia e Irán apuestan por mensajería y reclutamiento falso
En el contexto de la guerra, hackers rusos intensificaron ataques contra aplicaciones de mensajería segura utilizadas por militares ucranianos.
Google documentó campañas que abusaron de funciones de vinculación de dispositivos de Signal, lo que permitió interceptar mensajes en tiempo real. El grupo ruso Sandworm figura entre los principales responsables.
Por su parte, grupos patrocinados por Irán usaron portales de empleo falsos y correos de reclutadores para robar credenciales de empresas aeroespaciales y de drones.
Paralelamente, campañas chinas recurrieron a correos personalizados con referencias locales e intereses personales para aumentar la efectividad del phishing.
