El FBI ha presentado cargos contra un ciudadano ruso, Denis Nikolayevich Obrezko, acusado de conspiración para acceder sin autorización a sistemas informáticos de once empresas estadounidenses en el marco de la campaña de ciberespionaje atribuida al grupo Void Blizzard, vinculado al Kremlin. La declaración jurada del FBI, desprecintada esta semana, detalla cómo Obrezko adquirió un servidor privado virtual y varios nombres de dominio utilizados en ataques contra compañías, instituciones educativas y otras organizaciones. Se trata de la primera imputación individual en Estados Unidos relacionada con este actor de amenazas persistente avanzado, que Microsoft bautizó también como Laundry Bear.
Tokens de sesión robados y un proxy comercial made in USA
El modus operandi de Void Blizzard no destaca por su sofisticación técnica, sino por una meticulosa persistencia. Según el agente del FBI que firma la declaración, el grupo se apoyaba sobre todo en tokens de sesión robados para autenticarse en cuentas de víctimas sin disparar los mecanismos de reautenticación. Una vez dentro, canalizaban el tráfico a través de un servicio proxy comercial con sede en Estados Unidos para enmascarar la ubicación real de la conexión.
La maniobra era simple pero eficaz: enrutaban las comunicaciones mediante una VPN y seleccionaban direcciones IP del proxy en la misma región geográfica que el objetivo. Así conseguían burlar los cortafuegos geográficos sin levantar sospechas inmediatas. Entre junio y julio de 2024, el FBI recibió avisos de un socio extranjero y de una firma privada estadounidense que identificaron a varias compañías norteamericanas como blanco de esta actividad emergente. Las pesquisas confirmaron intrusiones en once empresas, aunque la propia Oficina reconoce que esa cifra probablemente representa sólo una fracción del total de víctimas en el país.
La infiltración en la policía neerlandesa y el eco en la OTAN
El caso adquirió una dimensión transatlántica en mayo de 2025, cuando los servicios de inteligencia y seguridad de los Países Bajos confirmaron que Void Blizzard había penetrado en la policía nacional neerlandesa en septiembre de 2024. Los atacantes sustrajeron información de contacto laboral de los agentes, un botín aparentemente modesto pero con un valor operativo enorme para labores de reconocimiento y posteriores ataques de ingeniería social. Le adelanto que este detalle ha disparado las alarmas en los centros de ciberseguridad de la OTAN: por primera vez, un mismo actor ruso vinculado al Kremlin demostraba capacidad para infiltrar simultáneamente objetivos en ambas orillas del Atlántico.
Microsoft ya había advertido en 2025 que el grupo recolectaba correos electrónicos y archivos masivos de entornos en la nube comprometidos, accedía a conversaciones de Microsoft Teams y catalogaba configuraciones de Microsoft Entra ID para mapear estructuras organizativas. En abril de aquel año, la propia compañía identificó una campaña de spear-phishing paralela con más de veinte ONG europeas y estadounidenses en el punto de mira. Para ello emplearon dominios tipografiados —typosquatting— como miscrsosoft.com y micsrosoftonline.com, registrados a través de cuentas conectadas a la misma infraestructura utilizada por el grupo.
El método no es sofisticado, pero su eficacia a escala demuestra que la ciberguerra se gana con persistencia, no con exploits de día cero.
Esos dominios falsos, diseñados para suplantar páginas de autenticación de Microsoft, aparecen también en la declaración jurada del FBI. La coincidencia, dice la Oficina, refuerza la atribución técnica y traza un puente directo entre la infraestructura adquirida por Obrezko y las campañas de Void Blizzard. El acusado compareció el martes ante un tribunal federal y aceptó permanecer en prisión preventiva mientras aguarda el juicio.
Dossier Moncloa: Ojos en la Sombra
El despliegue de Void Blizzard ilustra a la perfección la categoría de amenaza que los analistas llaman «de bajo nivel técnico, alto nivel operacional». Lo veo como un recordatorio incómodo: la ciberguerra no siempre llega con un zero-day de siete cifras. A veces basta con un token de sesión y un proxy de andar por casa. La lectura confidencial es otra: el caso Obrezko señala que las agencias estadounidenses empiezan a judicializar las operaciones de hacking patrocinadas por el Estado ruso como si fueran delitos comunes, una estrategia de presión que recuerda a la empleada contra los ciberdelincuentes financieros pero con un adversario geopolítico detrás.
El vector de amenaza aquí es doble. Por un lado, un ciberataque persistente basado en robo de tokens de sesión y uso de proxy comercial, catalogable como SIGINT ofensivo de baja complejidad técnica pero alto rendimiento. Por otro, una campaña de phishing con suplantación de dominio que apunta a ONG y entidades gubernamentales, lo cual amplía el espectro de blancos más allá del sector privado. En términos de agencias implicadas, el servicio atacante es Void Blizzard (Laundry Bear), atribuido con certeza razonable a los servicios de inteligencia rusos, muy probablemente al SVR o al FSB. El servicio defensor principal es el FBI, apoyado por un socio extranjero no identificado y por empresas privadas de ciberseguridad. Pero hay un tercer actor que mira con lupa: los servicios de inteligencia de los Países Bajos, el NCSC neerlandés y, por extensión, el resto de miembros de la OTAN que se preguntan si sus policías nacionales están ya comprometidas.
El CNI y el CCN-CERT no aparecen directamente citados en esta operación, pero el patrón es el que llevan años monitorizando. Fuentes del propio Centro Criptológico Nacional han descrito en repetidas ocasiones el token replay como una de las técnicas preferidas por actores rusos contra infraestructuras críticas españolas, y los dominios con typosquatting de Microsoft figuran desde 2024 en las alertas periódicas del CERT gubernamental. España no es ajena a este juego: con más de 8.000 infraestructuras críticas digitalizadas, el margen de exposición es amplio.
A juzgar por la naturaleza del material sustraído —correos corporativos, configuraciones de directorio activo, listados de personal policial— estimo un nivel de clasificación que oscila entre uso restringido y confidencial si se agrega el contexto organizativo. No hablamos de secretos de Estado nucleares, pero sí de la llave maestra para lanzar ataques de ingeniería social a medida contra mandos intermedios. El precedente histórico que me viene a la cabeza es el de la Operación Aurora (2009), cuando actores chinos robaron propiedad intelectual de decenas de empresas tecnológicas mediante técnicas igualmente poco vistosas pero quirúrgicas. Aquello nos enseñó que la sofisticación no está en el código, sino en la paciencia del adversario.
Hay un riesgo que conviene señalar. La atribución técnica, aunque sólida, descansa en parte sobre la coincidencia de infraestructura y dominios. La defensa de Obrezko podría argumentar que él fue un mero intermediario sin conocimiento del uso final de los servidores. Será el juicio quien determine si el FBI logra que un jurado estadounidense condene por espionaje cibernético a un ciudadano ruso cuyo verdadero jefe probablemente está en Yasenevo o en Lubyanka. Mientras tanto, el verdadero Void Blizzard seguirá activo. Como escribí hace años en El quinto elemento, «el próximo 11S empezará con un clic». Y tengo claro que este clic ya se ha producido en más de una comisaría neerlandesa.
