Un nuevo informe de Cisco Talos ha revelado una campaña de espionaje cibernético que lleva años desarrollándose bajo el radar. El grupo responsable, conocido como Static Tundra, ha estado comprometiendo dispositivos de red desde hace más de una década, utilizando una vulnerabilidad descubierta y corregida en 2018. Aunque la solución existe desde hace siete años, muchas organizaciones continúan operando con equipos sin parches o, peor aún, con dispositivos fuera de soporte.
Este grupo está vinculado con el Centro 16 del Servicio Federal de Seguridad ruso (FSB) y es considerado una subunidad de «Energetic Bear», un colectivo de amenazas cibernéticas conocido por sus operaciones contra infraestructuras críticas. Static Tundra ha mantenido acceso constante a sistemas de todo el mundo, robando información confidencial sin ser detectado durante años.
El uso de CVE-2018-0171: una puerta trasera abierta por negligencia
La vulnerabilidad que ha permitido estos ataques, identificada como CVE-2018-0171, afecta la función Smart Install del sistema Cisco IOS. En la práctica, esta brecha permite a los atacantes ejecutar código arbitrario o desestabilizar dispositivos mediante ataques de denegación de servicio. A pesar de que Cisco publicó parches en su momento, muchas organizaciones no los aplicaron o siguen usando equipos que ya no reciben soporte.
El caso es comparable a dejar una ventana abierta en casa, años después de que alguien advirtiera del peligro. Static Tundra ha sabido aprovechar esa negligencia. Los investigadores creen que el grupo ha automatizado la explotación a gran escala de esta vulnerabilidad, localizando dispositivos vulnerables a través de motores de búsqueda como Shodan o Censys, que indexan servicios disponibles en internet.
Un espionaje quirúrgico y bien planeado
Una vez dentro de un sistema, Static Tundra actúa con precisión quirúrgica. Recoge datos de configuración de los dispositivos, donde suele encontrarse información valiosa como credenciales, topologías de red y rutas de acceso. Para este proceso, utiliza herramientas como el protocolo TFTP (Trivial File Transfer Protocol) y SNMP (Simple Network Management Protocol), lo que les permite mantenerse en el sistema y seguir recopilando información con discreción.
Estos ataques no son aleatorios. Los objetivos han sido organizaciones de sectores estratégicos como telecomunicaciones, educación superior e industria manufacturera, distribuidas por Norteamérica, Europa, África y Asia. Las elecciones no son casuales: los analistas de Cisco Talos identificaron que la actividad del grupo aumentó considerablemente tras el inicio del conflicto entre Rusia y Ucrania. Desde entonces, el espionaje a entidades ucranianas no ha dejado de intensificarse, expandiéndose a diversos sectores económicos.
Un espejo de las fallas en la seguridad de red global
Este caso revela más que una operación aislada. Lo preocupante no es solo que Static Tundra siga teniendo éxito, sino que lo logre explotando un error ya documentado y corregido hace tiempo. Esto pone en evidencia las deficiencias en la gestión de actualizaciones y el ciclo de vida de los dispositivos de red. Es como si en el mundo digital muchas puertas siguieran abiertas, no por falta de llaves, sino por desinterés en cerrarlas.
Los dispositivos de red, como routers y switches, son muchas veces ignorados por los equipos de seguridad, quienes se enfocan en servidores, aplicaciones o dispositivos finales. Pero desde el punto de vista de un atacante con intereses estratégicos, comprometer la infraestructura de red es como intervenir las tuberías de una ciudad: permite observar y manipular todo lo que circula.
La sofisticación no es exclusiva de Static Tundra
Cisco Talos aclara que este grupo no es el único que ha puesto el foco en la infraestructura de red. Muchos otros actores vinculados a gobiernos han identificado estos dispositivos como objetivos prioritarios, precisamente por el acceso amplio que permiten. Dispositivos mal gestionados se convierten en una puerta de entrada silenciosa, fácil de mantener a largo plazo.
Static Tundra ha sido vinculado directamente con el FSB mediante patrones tácticos y comportamientos consistentes con otras operaciones rusas, según datos corroborados por el FBI y por antecedentes judiciales que ya relacionaban a Energetic Bear con el Centro 16 del FSB en una acusación formal del Departamento de Justicia de Estados Unidos en 2022.
El Centro 16 se encarga, según diversas fuentes, de operaciones de inteligencia de señales y acciones cibernéticas para el Estado ruso. De él también depende otro grupo conocido, Turla, que ha sido detectado por Microsoft llevando a cabo operaciones similares.
Un llamado urgente a la acción
La revelación de estas actividades debe interpretarse como una advertencia. La ciberseguridad no es solo cuestión de protegerse de lo nuevo, sino de mantener cerradas las puertas antiguas. Una vulnerabilidad de 2018 no debería seguir siendo un vector de acceso exitoso en 2025. Pero la realidad muestra que muchas organizaciones siguen sin priorizar la actualización y la gestión del ciclo de vida de sus dispositivos.
Este tipo de espionaje persistente, discreto y automatizado, pone en jaque la seguridad global. Las organizaciones deben replantearse su enfoque hacia la infraestructura de red y tratar estos dispositivos con la misma seriedad que cualquier otro sistema crítico.
