Google alerta del aumento de ciberataques de Rusia y China contra compañías de defensa europeas

Las empresas europeas del sector de la defensa, especialmente las que trabajan en tecnologías como los drones, se han convertido en un objetivo prioritario para actores estatales y grupos afines con Rusia y China a la cabeza. Así lo recoge el informe 'Más allá del campo de batalla: amenazas a la base industrial de defensa', elaborado por Google Threat Intelligence Group (GTIG), la unidad especializada que investiga, analiza y rastrea actores de amenazas cibernéticas y malware avanzado de Google Cloud, que describe un “asedio constante y multivector” contra la base industrial de defensa.

El documento sitúa el foco ruso en la guerra de Ucrania y en la rápida adopción de capacidades que ya se están estandarizando en el frente, con especial atención a los sistemas de aeronaves no tripuladas (UAS). En este contexto, Google sostiene que actores vinculados a Rusia y redes de hackers de ese país buscan comprometer a contratistas de defensa y, además, emplean señuelos que imitan productos y sistemas para atacar a organizaciones militares y a su personal.

Campañas que imitan a proveedores europeos

En el caso europeo, el informe describe una campaña atribuida al cluster de espionaje ruso UNC5976, activa desde enero de 2025, basada en la suplantación de identidad -'phishing'- a través de archivos maliciosos. Según Google, la infraestructura asociada al grupo incluía “cientos de dominios” que suplantaban a contratistas de defensa —con sedes, entre otros países, en Reino Unido, Alemania, Francia, Suecia y Noruega— además de Ucrania, Turquía y Corea del Sur.

La actividad no se limita a la suplantación de marcas: el informe también apunta a señuelos temáticos vinculados al campo de batalla. En las campañas de esta red rusa el principal objetivo era el robo de las rutas y algoritmos de los drones.

En paralelo, Google destaca la presión de redes de hackers prorrusas alrededor del papel táctico de los drones. Una parte de esa actividad se ha centrado en el uso de drones por parte de Ucrania y, a finales de 2025, el colectivo KillNet llegó a atribuirse ataques y acciones vinculadas a capacidades de monitorización del espacio aéreo y a la identificación de infraestructura relacionada con la producción de drones.

El “factor humano” se convierte en puerta de entrada

Uno de los cambios que subraya el informe es la creciente prioridad que le dan estos ataques a los sistemas personales frente a las redes empresariales, que suelen estar más protegidas. Los ataques se centran en comunicaciones personales, como correos electrónicos y datos de procesos de selección de contratación de personal que han pasado a ser una constante, en ocasiones precisamente por su capacidad para esquivar la seguridad perimetral de las empresas.

Google documenta campañas de un actor vinculado a China (APT5) que, en 2024 y 2025, envió correos de spearphishing -ciberataque de suplantación de identidad personalizado y dirigido a una víctima específica- a cuentas personales de empleados y ex empleados de grandes contratistas aeroespaciales y de defensa.

China, la amenaza más activa por volumen

En cuanto al espionaje, el informe sitúa a China como la amenaza estatal más activa por volumen en el sector durante los dos últimos años analizados. Y añade una tendencia al alza: la explotación de dispositivos como vía de acceso inicial, una táctica que Google considera de riesgo “significativo” para el sector de la defensa y las compañías vinculadas al espacio.

El documento advierte, además, de una debilidad estructural: la cadena de suministro. Aunque las empresas de armamento y aeroespacial son una fracción pequeña de las víctimas —en torno al 1% en 2025—, los proveedores de uso dual concentran el mayor volumen de impactos, lo que puede comprometer la capacidad de aumentar producción en escenarios de crisis.

En sus conclusiones, Google insiste en que, ante un entorno de ataques persistentes, la industria debe ir más allá de una postura reactiva e integrar estas tendencias de inteligencia de manera proactiva y dotarse de una arquitectura resiliente para evitar que los sistemas se comprometan incluso “antes de llegar al terreno”.

Suscríbete para seguir leyendo