Las claves
nuevo
Generado con IA
La industria de defensa enfrenta un asedio digital constante, con ciberataques impulsados por estados, grupos criminales y hacktivistas, especialmente de Rusia, China y Corea del Norte.
Rusia centra sus ataques en empresas vinculadas a la guerra en Ucrania y contratistas de defensa europeos, utilizando campañas de phishing y suplantación para infiltrarse en redes y sistemas.
China lidera en volumen de amenazas, explotando dispositivos perimetrales para espionaje estratégico, mientras Irán y Corea del Norte emplean tácticas como ofertas de empleo falsas y el trabajo remoto para infiltrarse.
El informe de Google destaca la vulnerabilidad de la cadena de suministro industrial y el enfoque creciente de los atacantes en los empleados, poniendo en jaque la ciberseguridad tradicional del sector defensa.
La guerra moderna ya no se combate únicamente con misiles, drones o blindados. También "se libra en los servidores, en los correos electrónicos de los empleados y en las "cadenas de suministro de la industria que protege a la nación”.
Así lo advierte el último informe del Google Threat Intelligence Group (GTIG), que describe un escenario de “asedio constante” contra la base industrial de defensa (DIB) por parte de Estados, grupos criminales y redes hacktivistas, especialmente de Rusia, China y Corea del Norte.
El informe, que recoge dos años de operaciones de ciberespionaje, sabotaje y extorsión, concluye que la industria de defensa se ha convertido en un objetivo prioritario del ciberconflicto global. Analistas y gobiernos coinciden: protegerla la industria de Defensa es ya una cuestión estratégica.
En plena carrera por reforzar la inversión militar y desarrollar nuevas tecnologías, la ciberseguridad del sector defensa se ha convertido en un pilar crítico para la seguridad nacional.
Y por ello, el informe advierte que la industria afronta una avalancha constante de ataques digitales, impulsados tanto por actores estatales como por grupos criminales.
Rusia y las empresas en la guerra de Ucrania
El análisis de GTIG identifica varios patrones claros. En primer lugar, el interés sostenido de actores vinculados a Rusia por empresas y tecnologías desplegadas en la guerra de Ucrania.
Los grupos de espionaje ruso concentran sus esfuerzos en contratistas de defensa y organizaciones relacionadas con sistemas aéreos no tripulados (drones), recurriendo a falsos señuelos que simulan productos militares reales para infiltrar redes, dispositivos y cuentas personales.
Un documento señuelo que los atacantes usan para engañar.
Más allá del robo de información sensible, estos ataques buscan respaldar operaciones militares sobre el terreno. Desde antes de la invasión a gran escala de febrero de 2022, el Kremlin concibe el conflicto como parte de una ofensiva más amplia contra la influencia occidental, extendiendo su acción a entidades de defensa en Ucrania y en otros países de Occidente mediante operaciones tanto cinéticas como cibernéticas.
La actividad también se ha expandido a compañías ucranianas y occidentales que desarrollan tecnologías defensivas, utilizando infraestructuras y campañas de engaño relacionadas con fabricantes de equipos militares, drones, sistemas antidrones y de vigilancia.
La actividad de espionaje rusa ha tenido como objetivo a empresas de defensa europeas. Se sospecha que un grupo, UNC5976, ha realizado campañas de phishing desde enero de 2025 que suplantan a contratistas de defensa y proveedores de telecomunicaciones, utilizando infraestructura que se hace pasar por empresas en el Reino Unido, Alemania, Francia, Suecia y Noruega.
Por otro lado, hacker prorrusos se centraron en el uso de drones por parte de Ucrania; hacia finales de 2025, se detectó actividad vinculada a operaciones cibernéticas en torno a los UAS en el campo de batalla, lo que refleja tanto la importancia operativa de los drones como los intentos de los grupos hacktivistas por atribuirse un impacto en el mundo real.
China, Irán y Corea del Norte
En paralelo, China emerge como la amenaza más persistente por volumen. “La actividad procedente de grupos vinculados a China sigue representando la amenaza más activa para la base industrial de defensa”, subraya el informe.
Estos actores destacan por la explotación sistemática de dispositivos perimetrales —routers, firewalls o VPN— como vía de acceso inicial, una táctica que reduce las probabilidades de detección y facilita intrusiones prolongadas orientadas al espionaje estratégico o al robo de investigación y desarrollo (I+D).
Irán y Corea del Norte completan el mapa de amenazas. Los primeros han perfeccionado campañas de falsas ofertas de empleo y la suplantación de portales de reclutamiento para infectar a empleados del sector aeroespacial y de defensa.
Pyongyang, por su parte, combina el espionaje con la obtención de ingresos mediante la infiltración de falsos trabajadores IT en empresas occidentales, aprovechando el trabajo remoto para eludir controles de seguridad tradicionales.
El eslabón humano, en el punto de mira
Uno de los aspectos más preocupantes del informe es el foco creciente en las personas. “El targeting directo de empleados y la explotación de los procesos de contratación se ha consolidado como un tema clave”, alerta GTIG.
Correos electrónicos personales, redes profesionales y entrevistas de trabajo se han convertido en puertas de entrada privilegiadas para los atacantes, a menudo fuera del alcance de la seguridad corporativa convencional.
Esta tendencia se ve reforzada por el uso de técnicas cada vez más sofisticadas de “evasión de la detección”, ya identificadas en informes anteriores del sector.
Los atacantes buscan comprometer un único endpoint o individuo, evitando deliberadamente las herramientas de detección y respuesta en endpoints (EDR) y reduciendo así su huella digital.
La cadena de suministro, talón de Aquiles
El informe de Google Threat Intelligence Group (GTIG), también pone el foco en un riesgo sistémico: la cadena de suministro industrial. Desde 2020, el sector manufacturero —incluidos los proveedores de uso dual— es el más afectado por filtraciones de datos ligadas a ransomware y extorsión.
Aunque las empresas puramente militares representan una parte menor de los incidentes, muchas compañías manufactureras producen componentes de doble uso esenciales para la defensa.
“La capacidad de aumentar rápidamente la producción de componentes en un entorno de guerra puede verse afectada incluso cuando las intrusiones se limitan a redes de TI”, advierte el documento.
A este riesgo se suma el resurgimiento del hacktivismo, con campañas de hack and leak, ataques DDoS y operaciones de intimidación que buscan impacto mediático, psicológico y político.
Nuevas respuestas
La conclusión del informe es clara: la base industrial de defensa opera en un entorno “disputado y complejo” que pone en jaque las estrategias tradicionales de ciberseguridad.
La combinación de espionaje estatal, crimen organizado y activismo ideológico obliga a repensar la defensa digital como un elemento central de la seguridad nacional.
En palabras de Luke McNamara, deputy chief analyst de GTIG, “la industria de la Defensa sigue siendo un objetivo primordial para las operaciones cibernéticas sofisticadas. Desde los ataques en primera línea contra desarrolladores de drones en Ucrania hasta las sigilosas campañas de espionaje de actores de amenazas vinculados a China, el panorama de amenazas está cambiando rápidamente”.
Y concluye: “A medida que la inversión global en defensa continúa creciendo, la amplitud de tácticas de los adversarios convierte la creación de resiliencia en todo el ecosistema en una prioridad urgente”.