Hackers vinculados a unidades de inteligencia militar de Rusia están explotando fallos conocidos en routers de Internet antiguos para recolectar masivamente tokens de autenticación de usuarios de **Microsoft Office**, advirtieron expertos en seguridad. La campaña de espionaje permitió a los hackers rusos respaldados por el estado sustraer silenciosamente tokens de autenticación de usuarios en más de 18.000 redes sin desplegar ningún software o código malicioso. **Microsoft** declaró que identificó más de 200 organizaciones y 5.000 dispositivos de consumo atrapados en una red de espionaje sigilosa creada por **Forest Blizzard** en una publicación reciente de su blog.  También conocido como APT28 y Fancy Bear, Forest Blizzard está atribuido a las unidades de inteligencia militar dentro de la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia. APT 28 comprometió famosamente la campaña de Hillary Clinton, el Comité Nacional Demócrata y el Comité de Campaña Congresional Demócrata en 2016. Investigadores de **Black Lotus Labs**, una división de seguridad del proveedor de infraestructura de Internet **Lumen**, descubrieron que en su punto álgido en diciembre de 2025, la vigilancia de Forest Blizzard afectó a más de 18.000 routers de Internet, principalmente routers no compatibles, al final de su vida útil o dispositivos que carecían de actualizaciones de seguridad recientes. Los hackers se dirigieron principalmente a agencias gubernamentales, incluidos ministerios de asuntos exteriores, fuerzas del orden y proveedores de correo electrónico de terceros. El ingeniero de seguridad de Black Lotus, **Ryan English**, explicó que los hackers del GRU no necesitaron instalar malware en los routers objetivo, que eran principalmente dispositivos **Mikrotik** y **TP-Link** más antiguos comercializados para el mercado de Pequeña Oficina/Oficina en Casa (SOHO). En cambio, explotaron vulnerabilidades conocidas para modificar la configuración del Sistema de Nombres de Dominio (DNS) de los routers para incluir servidores DNS controlados por los hackers. El **National Cyber Security Centre** (NCSC) del Reino Unido detalló en un nuevo aviso cómo los actores cibernéticos rusos han estado comprometiendo routers. El DNS es lo que permite a las personas acceder a sitios web escribiendo direcciones familiares, en lugar de las direcciones IP asociadas. En un ataque de secuestro de DNS, los malos actores interfieren con este proceso para enviar encubiertamente a los usuarios a sitios web maliciosos diseñados para robar detalles de inicio de sesión u otra información sensible. English declaró que los routers atacados por Forest Blizzard fueron reconfigurados para usar servidores DNS que apuntaban a servidores privados virtuales controlados por los atacantes. Los atacantes podían entonces propagar su configuración DNS maliciosa a todos los usuarios de la red local, y desde ese punto interceptar cualquier token de autenticación OAuth transmitido por esos usuarios.  Dado que esos tokens generalmente se transmiten solo *después* de que el usuario ha iniciado sesión correctamente y ha pasado por la autenticación multifactor, los atacantes podían obtener acceso directo a las cuentas de las víctimas sin tener que realizar phishing de las credenciales y/o códigos de un solo uso de cada usuario. "Todo el mundo busca algún malware sofisticado para dejar caer algo en sus dispositivos móviles o algo así", dijo English. "Estos tipos no usaron malware. Hicieron esto de una manera vieja, de barba gris, que no es realmente atractiva pero que hace el trabajo". Microsoft se refiere a la actividad de Forest Blizzard como el uso de secuestro de DNS "para respaldar ataques de adversario en el medio (AiTM) post-compromiso en conexiones de Transport Layer Security (TLS) contra dominios de Microsoft Outlook en la web". El gigante del software dijo que, si bien el ataque a dispositivos SOHO no es una táctica nueva, esta es la primera vez que Microsoft ve a Forest Blizzard utilizando "secuestro de DNS a escala para respaldar AiTM de conexiones TLS después de explotar dispositivos de borde". El ingeniero de Black Lotus Labs, **Danny Adamitis**, dijo que será interesante ver cómo reacciona Forest Blizzard ante la atención actual sobre su operación de espionaje, señalando que el grupo cambió inmediatamente sus tácticas en respuesta a un informe similar del **NCSC** en agosto de 2025. En ese momento, Forest Blizzard estaba utilizando malware para controlar un grupo mucho más específico y pequeño de routers comprometidos. Pero Adamitis dijo que el día después del informe del NCSC, el grupo abandonó rápidamente el enfoque de malware en favor de alterar masivamente la configuración DNS en miles de routers vulnerables. "Antes de que saliera el último informe del NCSC, usaron esta capacidad en instancias muy limitadas", dijo Adamitis a KrebsOnSecurity. "Después de que se publicó el informe, implementaron la capacidad de manera más sistémica y la usaron para atacar todo lo que era vulnerable". TP-Link estuvo entre los fabricantes de routers que enfrentaron una posible prohibición en los Estados Unidos. Pero el 23 de marzo, la **U.S. Federal Communications Commission** (FCC) adoptó un enfoque mucho más amplio, anunciando que ya no certificaría routers de Internet de grado de consumo que se producen fuera de los Estados Unidos. La FCC advirtió que los routers de fabricación extranjera se habían convertido en una amenaza insostenible para la seguridad nacional, y que los routers mal asegurados presentan "un grave riesgo de ciberseguridad que podría ser aprovechado para interrumpir inmediata y severamente la infraestructura crítica de EE. UU. y dañar directamente a las personas de EE. UU.". Los expertos han respondido que pocos routers nuevos de grado de consumo estarían disponibles para la compra bajo esta nueva política de la FCC (aparte quizás de los routers de Internet satelital de Starlink de Musk, que se producen en Texas). La FCC dice que los fabricantes de routers pueden solicitar una "aprobación condicional" especial del Departamento de Guerra o del Departamento de Seguridad Nacional, y que la nueva política no afecta a ningún router de grado de consumo comprado previamente.