Hackers rusos explotan routers obsoletos para robar tokens de Microsoft Office

Un ataque de espionaje ruso aprovecha routers obsoletos para robar credenciales

Un grupo de ciberdelincuentes vinculado a los servicios de inteligencia militar de Rusia está utilizando fallos conocidos en routers antiguos para interceptar tokens de autenticación de usuarios de Microsoft Office. Según han advertido expertos en ciberseguridad, esta campaña de espionaje ha permitido a los hackers rusos respaldados por el Estado acceder a cuentas sin necesidad de instalar software malicioso.

Microsoft ha confirmado en un comunicado que ha identificado más de 200 organizaciones y 5.000 dispositivos de consumidores afectados por esta red de espionaje, atribuida al grupo conocido como Forest Blizzard (también llamado APT28 o Fancy Bear), vinculado al GRU ruso. Este mismo grupo fue responsable de ataques cibernéticos contra la campaña de Hillary Clinton y el Comité Nacional Demócrata en 2016.

¿Cómo funciona el ataque?

Investigadores de Black Lotus Labs, la división de ciberseguridad de Lumen, han revelado que, en su punto álgido en diciembre de 2025, esta campaña afectó a más de 18.000 routers, principalmente modelos obsoletos o sin soporte de seguridad. Los dispositivos más afectados fueron routers Mikrotik y TP-Link, orientados al mercado SOHO (oficinas pequeñas y hogares).

En lugar de instalar malware, los hackers aprovecharon vulnerabilidades conocidas para modificar la configuración DNS de los routers e incluir servidores controlados por ellos. Esto les permitió redirigir las solicitudes DNS de los usuarios hacia servidores maliciosos, capaces de interceptar tokens de autenticación de Microsoft Office.

Según Ryan English, ingeniero de seguridad de Black Lotus Labs, los atacantes no necesitaron instalar ningún código malicioso en los routers para llevar a cabo el ataque. Simplemente reconfiguraron los servidores DNS para que apuntaran a servidores privados controlados por ellos, lo que les permitió propagar estas configuraciones a todos los dispositivos conectados a la red local.

Tokens de autenticación en la mira

Los tokens de autenticación de Microsoft Office, que se generan tras un inicio de sesión exitoso y la verificación en dos pasos, son el objetivo principal de este ataque. Al interceptarlos, los hackers pueden acceder a las cuentas de las víctimas sin necesidad de robar credenciales o códigos de verificación adicionales.

«Todo el mundo busca malware sofisticado para infectar dispositivos móviles, pero estos atacantes usaron un método antiguo y efectivo», explicó English. «No es glamuroso, pero funciona».

Objetivos prioritarios: agencias gubernamentales y proveedores de correo

El informe de Lumen señala que los principales objetivos de esta campaña fueron agencias gubernamentales, incluyendo ministerios de Asuntos Exteriores, fuerzas de seguridad y proveedores de servicios de correo electrónico de terceros. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha emitido una alerta advirtiendo sobre este tipo de ataques.

Los expertos recomiendan a los usuarios y organizaciones actualizar sus routers a versiones con soporte de seguridad y revisar periódicamente la configuración de DNS para detectar posibles manipulaciones.

«Este ataque demuestra que los actores de amenazas siguen explotando vulnerabilidades conocidas en dispositivos obsoletos para llevar a cabo operaciones de ciberespionaje a gran escala».