El comunicado del FSB: una trama sin archivos adjuntos
El Servicio Federal de Seguridad de Rusia (FSB) ha comunicado este sábado la detección de una campaña de espionaje extranjero que habría infectado con malware los dispositivos móviles de altos funcionarios rusos. La nota oficial, distribuida por la agencia TASS y recogida por agencias internacionales, no adjunta indicadores de compromiso, no muestra capturas de pantalla y no identifica a ningún servicio de inteligencia concreto. Solo habla de «servicios de inteligencia occidentales». Así, en genérico. Le adelanto que, en el oficio, cuando una agencia de contrainteligencia emite un comunicado tan escueto sin prueba técnica pública, lo primero que hago es guardar las cautelas.
El FSB califica la operación como «a gran escala» y asegura que los terminales infectados pertenecen a altos cargos de la administración. No hay cifras oficiales de afectados, ni se detalla el vector de infección. Tampoco se menciona si la inteligencia de señales rusa (SIGINT) interceptó la campaña en tránsito o si fue un hallazgo forense posterior. El comunicado llega, eso sí, en un momento de máxima tensión en el ciberespacio entre Rusia y los países de la OTAN, con una cadencia de atribuciones cruzadas que no se veía desde antes de la invasión de Ucrania.
En el oficio, cuando una agencia emite un comunicado sin prueba técnica pública, lo primero que hago es guardar las cautelas.
Para calibrar el anuncio, conviene recordar que el FSB es el heredero directo del KGB en materia de contrainteligencia interior. Su director, Alexander Bortnikov, lleva al frente del servicio desde 2008. Me consta que la comunidad de inteligencia occidental lee estos comunicados con doble clave: parte propaganda interior para demostrar músculo y parte señal hacia el exterior. Mi lectura es que el mensaje está dirigido tanto a la galería doméstica como a las agencias de Five Eyes.
Lectura técnica: qué implica un ‘malware en los teléfonos’ sin más detalles
La expresión «malware en los teléfonos móviles» abre un abanico de posibilidades que un analista de inteligencia de señales (SIGINT) necesita acotar para poder seguir la historia. Sin un hash, sin una muestra en VirusTotal y sin un informe técnico de una firma independiente (Mandiant, CrowdStrike, Kaspersky GReAT), la atribución resulta imposible. El FSB no dice si se trata de un spyware de grado militar —al estilo de Pegasus o Predator—, de un ransomware con módulo de exfiltración, o de un troyano de acceso remoto diseñado para entornos Android o iOS.
Los precedentes en móviles de altos cargos nos enseñan que el vector suele estar en aplicaciones de mensajería o en enlaces SMS con ingeniería social. Recuerdo la Operación Wirecard y la cadena de infección que afectó a ejecutivos de bolsa europeos hace apenas dos años. Si el FSB no publica un análisis de cadena de ataque, la pregunta que queda sobre la mesa es si realmente han detectado una operación activa o están aprovechando un incidente técnico para elevar el tono de la denuncia pública.
En el mundo de las amenazas persistentes avanzadas (APT), los actores patrocinados por Estados suelen dejar firmas digitales que las empresas de ciberseguridad acaban triangulando. Si el malware existió y el FSB lo tiene, es perfectamente posible que en las próximas semanas veamos informes de terceros con indicadores de compromiso que corroboren total o parcialmente la afirmación rusa. Hasta entonces, permítame mantener el escepticismo.
Dossier Moncloa: Ojos en la Sombra
Para un analista de inteligencia, la afirmación del FSB se descompone en al menos tres vectores de interés. El primero es el vector de amenaza: si confirmamos la existencia del software malicioso, estaríamos ante una operación de infiltración mediante malware de alcance estratégico, probablemente con capacidad de exfiltración de comunicaciones, correos electrónicos y datos de geolocalización. El blanco —altos funcionarios rusos— sugiere un objetivo de recolección de inteligencia política, diplomática y, quizá, militar a largo plazo. Yo lo leería como una campaña clásica de HUMINT apoyada en SIGINT, donde el dispositivo comprometido sustituye al agente humano en el interior.
El segundo vector es el de las agencias implicadas. Si la atribución rusa a «servicios occidentales» pudiera concretarse, estaríamos hablando con toda probabilidad de una agencia de un país de Five Eyes —CIA, MI6 o GCHQ— o de un servicio europeo como el BND alemán o la DGSE francesa. La experiencia indica que los rusos suelen señalar a la CIA cuando quieren enviar un mensaje directo a Langley, y a Reino Unido cuando quieren airear tensiones con Vauxhall Cross. La tercera pata son los terceros interesados: China tiene motivos para observar cómo Moscú gestiona su seguridad interior en ciberseguridad móvil, mientras que Israel siempre está atento a cualquier mención de spyware que pueda salpicar a su industria.
La afirmación del FSB puede ser a la vez cierta en lo técnico y estratégicamente oportunista en lo político. El hecho de que Moscú no haya identificado al atacante con nombre y apellidos sugiere que, o bien no tiene la certeza, o bien prefiere mantener la niebla de la guerra informativa. Mi estimación del nivel de clasificación del material involucrado es, naturalmente, Secreto o Top Secret en origen —si el malware existe, los informes forenses no van a salir de los servidores del FSB—.
Cabe recordar el precedente de 2018, cuando el GRU fue expulsado de Países Bajos tras intentar hackear a la Organización para la Prohibición de las Armas Químicas. Aquella operación incluía equipos de intercepción de redes WiFi y terminales móviles. Lo que estamos viendo hoy, si se confirma, sería una versión digitalizada de aquella Operación Olympic Games en pequeña escala, pero en sentido inverso. De ser real, la campaña occidental supondría que el oficio ha alcanzado un nuevo estadio de asedio digital permanente sobre los círculos de poder del Kremlin.
El riesgo más evidente para un analista español es la ausencia de verificación independiente. Sin un análisis de terceros, esta noticia es fundamentalmente un comunicado de parte. En 2021, cuando Citizen Lab documentó el uso de Pegasus contra altos cargos europeos, las pruebas forenses eran abrumadoras: volcados de memoria, registros de red, trazabilidad de infraestructura. Aquí no tenemos nada de eso, y el estándar de prueba en inteligencia no debería rebajarse por razones geopolíticas.
El contexto que falta: Gamaredon y la guerra en la sombra
Mientras el FSB denuncia la intrusión, el grupo APT Gamaredon —atribuido al FSB y activo desde 2013— sigue golpeando objetivos ucranianos con campañas modulares de malware. Esta misma semana, investigadores han documentado el uso de una vulnerabilidad en WinRAR para desplegar un nuevo spyware contra instituciones del gobierno en Kiev. Es la paradoja eterna del oficio: el mismo servicio que se presenta como víctima de una operación occidental mantiene a su vez una de las campañas de ciberespionaje más persistentes sobre infraestructura adversaria.
Ya advertí en El quinto elemento que el próximo 11S empezará con un clic. Lo que sucede hoy en el espacio digital ruso-occidental es una guerra en la sombra que ya no distingue entre paz y conflicto. Los teléfonos de los altos cargos se han convertido en el campo de batalla por defecto. Si usted sigue las series de indicadores de compromiso que publican semanalmente Mandiant o Recorded Future, verá que la actividad de los grupos APT28 y APT29 no ha dejado de crecer en los últimos dieciocho meses.
Quienes conocen el oficio en Moscú saben que el FSB ha dedicado recursos crecientes a la contrainteligencia en el espacio digital desde 2022, cuando la ola de sanciones tecnológicas occidentales cortó el acceso a buena parte del hardware y el software de ciberseguridad que venían utilizando. La sustitución por soluciones domésticas ha sido forzada pero también ha aumentado la paranoia institucional. Es un caldo de cultivo perfecto para que un incidente de seguridad que en 2019 habría pasado desapercibido se convierta ahora en una denuncia pública de alto voltaje.
La lectura confidencial es otra: el FSB ha optado por comunicar públicamente una operación que, de ser cierta, revela una vulnerabilidad sistémica en la seguridad de las comunicaciones de sus altos cargos. En términos de oficio, es una confesión de debilidad. Y en inteligencia, uno nunca confiesa una debilidad sin esperar algo a cambio. ¿Una nueva ronda de sanciones? ¿Un gesto hacia Pekín? ¿Una operación de bandera falsa en ciernes?
Lo escribí hace años en Desnudando a Google: alguien tenía que decir que el rey Google va desnudo. Pues bien, en este tablero, el rey FSB quizá también ha ido desnudo tecnológicamente durante meses. Que ahora lo cuente en voz alta, sin pruebas, es el arma de doble filo que Moscú ha decidido blandir. Como analista, creo que tardaremos semanas en saber si esta operación existió realmente o si es un episodio más de la guerra informativa en la que todos los servicios juegan con cartas marcadas.
