Las empresas de defensa, sus procesos de contratación y sus empleados se han convertido en objetivos principales de las campañas de ciberespionaje patrocinadas por los estados, según un informe de Google publicado antes de la Conferencia de Seguridad de Múnich.
El informe cataloga un “aluvión implacable de operaciones cibernéticas”, la mayoría llevadas a cabo por grupos patrocinados por el Estado, contra las cadenas de suministro industriales de la UE y Estados Unidos. Esto sugiere que la gama de objetivos de estos piratas informáticos ha crecido hasta abarcar la base industrial más amplia de Estados Unidos y Europa, desde empresas aeroespaciales alemanas hasta fabricantes de automóviles del Reino Unido.
Los piratas informáticos vinculados al Estado han atacado durante mucho tiempo la industria de defensa global, pero Luke McNamara, analista del grupo de inteligencia de amenazas de Google, dijo que ha visto ataques más “personalizados” y “directos al individuo” contra los empleados.
“Es más difícil detectar estas amenazas cuando ocurren en el sistema personal de un empleado, ¿verdad? Está fuera de una red corporativa”, dijo. “La cuestión personal se convirtió en uno de los temas principales”.
Google también ha notado más ataques de extorsión contra empresas más pequeñas que no están directamente en la cadena de suministro de defensa, dijo, como empresas que fabrican automóviles o rodamientos de bolas.
Un ataque reciente por parte de un grupo vinculado a la inteligencia rusa indica cuán amplia se ha vuelto la red. Los piratas informáticos parecían intentar robar información falsificando los sitios web de cientos de importantes contratistas de defensa del Reino Unido, Estados Unidos, Alemania, Francia, Suecia, Noruega, Ucrania, Turquía y Corea del Sur.
Rusia también ha desarrollado hacks específicos para comprometer las cuentas de Signal y Telegram del personal militar ucraniano, así como de periodistas y servidores públicos, utilizando métodos y vulnerabilidades que Google dice que otros atacantes podrían adoptar.
Los piratas informáticos también han organizado ataques extremadamente selectivos contra las unidades de drones de primera línea de Ucrania haciéndose pasar por constructores de drones ucranianos o en cursos de entrenamiento de drones.
La Dra. Ilona Khmeleva, secretaria del Consejo de Seguridad Económica de Ucrania, dijo que muchos ataques cibernéticos contra el ejército ucraniano fueron individualizados y que algunos objetivos potenciales fueron monitoreados durante semanas antes de un ataque.
Las autoridades ucranianas registraron un aumento del 37% en los incidentes cibernéticos entre 2024 y 2025, dijo.
Fuera de Europa, otros grupos están utilizando tácticas similares para atacar a los contratistas de defensa. Cada vez más, estos esfuerzos se centran en personas que intentan conseguir trabajos en defensa o en las vulnerabilidades de los procesos de contratación de las grandes empresas.
Los piratas informáticos norcoreanos se hicieron pasar por reclutadores corporativos en campañas contra los principales contratistas de defensa, utilizando IA para perfilar ampliamente a los empleados, sus roles y sus salarios potenciales para “identificar objetivos potenciales para el compromiso inicial”.
Muchas de estas campañas han tenido un gran éxito. El verano pasado, el Departamento de Justicia de Estados Unidos descubrió que los norcoreanos habían logrado obtener empleos como “trabajadores remotos de TI” para más de 100 empresas estadounidenses. Las autoridades estadounidenses afirmaron que estaban haciendo esto para financiar al gobierno de Corea del Norte, recaudar salarios y, en algunos casos, robar criptomonedas.
Grupos patrocinados por el Estado iraní crearon portales de empleo falsos y presentaron ofertas de trabajo falsas para obtener credenciales de empresas de defensa y drones.
Un grupo llamado APT5, vinculado a China, se dirige a empleados de empresas aeroespaciales y de defensa con correos electrónicos y mensajes adaptados a su ubicación geográfica, vida personal y roles profesionales.
Por ejemplo, padres de niños pequeños han recibido comunicaciones falsas de los Boy Scouts of America o de una escuela secundaria cercana; Los residentes de ciertos estados de EE. UU. recibieron información falsa sobre las elecciones de 2024. Los empleados de empresas destacadas también recibieron invitaciones falsas a eventos, incluidos cursos de formación de la Cruz Roja y una conferencia de seguridad nacional en Canadá.
Khmeleva dijo: “A medida que las tecnologías e inversiones occidentales se integran en Ucrania –incluso a través de ayuda militar y proyectos industriales conjuntos– el grupo de víctimas potenciales se expande más allá de los ciudadanos ucranianos.
“Los empleados de empresas extranjeras, contratistas, ingenieros y consultores involucrados en proyectos relacionados con Ucrania también podrían convertirse en objetivos, haciendo de este un problema de seguridad transnacional y no puramente nacional”.
