Tres capitales se movieron el mismo lunes
En diciembre de 2025, en pleno invierno, un ataque contra la infraestructura energética de Polonia estuvo lo bastante cerca de lograrlo como para que los gobiernos describan ahora lo que habría provocado: unos 500.000 civiles desconectados de su electricidad. No funcionó. El 13 de julio de 2026 Europa dijo en voz alta quién lo intentó.
La UE y el Reino Unido anunciaron sanciones coordinadas el mismo día. El Reino Unido designó a 24 personas y entidades. La UE incluyó a nueve personas y cuatro entidades, en lo que su jefa de la diplomacia describió como el mayor paquete de sanciones cibernéticas adoptado hasta la fecha por el bloque. Treinta y tres objetivos entre ambos, con congelación de activos, prohibición de viajar y prohibición de poner fondos o recursos económicos a su disposición.
Los nombres son concretos. Tres oficiales del GRU: Vyacheslav Stafeyev, Ivan Senin, Ivan Kasyanenko. El proveedor de alojamiento a prueba de balas Media Land LLC y su filial ML.Cloud, vinculados a pérdidas por ransomware y phishing en toda Europa. Z-Pentest, que según el Consejo fue a por infraestructuras críticas, entre ellas energía y agua. Diez personas detrás de Rybar LLC. Los operadores del malware de robo de credenciales Lumma Stealer. Y detrás del ataque a la red polaca, una unidad: el Centro 16 del FSB.
Las sanciones hablan del pasado. Lo que salió ese mismo día habla de su red.
La vía de entrada no era sofisticada
El National Cyber Security Centre británico publicó un aviso conjunto con otros doce países - Estados Unidos, Australia, Canadá, Chequia, Dinamarca, Estonia, Finlandia, Francia, Italia, Nueva Zelanda, Polonia y Suecia - que describe cómo entra realmente el Centro 16 del FSB. Al grupo se le sigue la pista desde hace años bajo una colección de nombres: Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Static Tundra.
Las técnicas son la parte decepcionante. Escaneo a escala de Internet en busca del protocolo SNMP con cadenas de comunidad por defecto o débiles. Abuso de Cisco Smart Install, una función de aprovisionamiento diseñada para facilitar el despliegue de conmutadores y que la mayoría de las organizaciones nunca desactivó después del despliegue. Vulnerabilidades conocidas y publicadas en los portales web de los equipos de red. Sectores atacados: comunicaciones, defensa, energía, servicios financieros, administración pública y sanidad.
En esa lista no hay ninguna capacidad exótica. Un servicio de inteligencia estatal entra en infraestructuras críticas por configuraciones por defecto y hardware de borde sin parchear, porque funciona y porque es silencioso. Los equipos de red no ejecutan un agente de endpoint. No aparecen en la mayoría de los escaneos de vulnerabilidades. Nadie recibe una alerta cuando uno de ellos cae, porque no hay nada en ellos que la genere.
Las mitigaciones del aviso son igual de sencillas: pasar a SNMPv3 y desactivar las versiones heredadas, usar contraseñas robustas y únicas en los equipos de red, restringir el acceso a los protocolos de administración y apagar Smart Install.
Por qué un fallo de 2008 tiene un plazo de tres días
Ese mismo 13 de julio, Estados Unidos añadió exactamente una vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas. No un zero-day recién salido. La CVE-2008-4128, un fallo de falsificación de peticiones en sitios cruzados en Cisco IOS, divulgado en 2008. La fecha límite de remediación asociada era el 16 de julio: tres días.
Una entrada en ese catálogo significa una sola cosa. No es una puntuación teórica de gravedad ni la prueba de concepto de un investigador. Significa que el fallo se está explotando de forma real, ahora mismo, y el catálogo que lo recoge superó las 1.638 entradas con esta incorporación. El plazo de tres días obliga a las agencias federales estadounidenses, pero la señal que envía no es administrativa. Un fallo de dieciocho años no recibe un reloj de emergencia porque alguien lo haya redescubierto. Lo recibe porque se está usando ahora.
Ponga los dos documentos uno al lado del otro y la imagen se aclara. El aviso dice que un actor estatal vive en el equipamiento de red. El catálogo dice que la puerta concreta es un fallo de Cisco con edad suficiente para votar. Nada de esta campaña exigió inventar nada. Solo exigió que el defensor no mirase nunca el conmutador.
¿De quién es el router?
Haga esa pregunta en su propia organización y observe qué pasa. Los servidores tienen un responsable, un ciclo de parches y un agente de monitorización. Los portátiles tienen un gestor de flota. El router del rack, el conmutador de la delegación, el cortafuegos que el proveedor gestionado instaló hace cuatro años y en el que no ha vuelto a entrar: esos suelen pertenecer a quien los configuró, lo que muy a menudo significa a alguien que ya no trabaja allí.
Ese hueco ya no es solo técnico, también es legal. Con NIS2, que llega al ordenamiento español mediante la transposición de la directiva, las entidades esenciales e importantes deben gestionar el riesgo de todas las redes y sistemas de información que utilizan, y los equipos de red forman parte de eso sin ninguna duda. El supervisor que le pregunte cómo controla a sus proveedores y su infraestructura no aceptará que el hardware de borde se cayera entre el equipo interno y el externalizado. Lo mismo vale para la relación con el proveedor gestionado: si él opera su electrónica de red, la higiene de configuración de ese proveedor es su propia exposición al riesgo, y el contrato que usted tiene con él es el lugar donde eso se aborda o no se aborda.
Para cualquier operador de energía, agua, transporte, sanidad o infraestructura digital, esto no es material de concienciación genérica. Nombra su sector, nombra el protocolo y viene acompañado de una lista de personas designadas que estaban haciéndolo. España no firmó este aviso, pero la técnica no conoce fronteras, y las referencias nacionales para incidentes, INCIBE-CERT y CCN-CERT, siguen siendo la vía para notificar y para pedir apoyo cuando esto aparezca en su red.
Qué hacer esta semana
Primero el inventario, porque no se puede parchear lo que no se ha listado. Cada conmutador gestionable, cada router, cada cortafuegos y cada dispositivo de red, incluidos los de las delegaciones y los que instaló un proveedor. Si ese inventario no existe, construirlo es el trabajo de la semana y vale más que cualquier herramienta que pudiera comprar en su lugar.
Después, tres acciones concretas del aviso. Desactivar Cisco Smart Install allí donde siga encendido, que en la mayoría de los parques significa allí donde alguna vez lo estuvo. Pasar SNMP a la versión 3 con autenticación y cifrado, y desactivar las versiones 1 y 2c, que transmiten las cadenas de comunidad en claro. Sacar las interfaces de administración de cualquier ruta alcanzable desde Internet y ponerlas detrás de un segmento de red controlado.
Por último, compruebe si sus equipos de red generan registros que alguien lea. Esta campaña persistió porque el equipamiento de red comprometido es mudo. Un router reconfigurado tiene exactamente el mismo aspecto que un router que no lo está, salvo que alguien lo compare con una configuración de referencia conocida.
Nada de esto es un consejo nuevo. Ese es precisamente el punto, y por eso trece gobiernos sintieron la necesidad de decirlo juntos.
Leer a continuación: La primera plataforma de agentes de IA que la CISA obliga a parchear | 430.000 firewalls, una línea de suministro de ransomware



