El sector Defensa, en el punto de mira de las amenazas patrocinadas por estados

El informe “Beyond the Battlefield: Threats to the Defense Industrial Base”, elaborado por el Google Threat Intelligence Group (GTIG) detalla el análisis de inteligencia de amenazas al sector de la Defensa de los equipos de Google Mandiant Intelligence y Threat Analysis Group. Como punto de referencia, GTIG “se centra en identificar, analizar, mitigar y eliminar tipologías enteras de ciberamenazas contra Alphabet, sus usuarios y sus clientes”.

En el actual equilibrio internacional geopolítico y geoeconómico, la industria de Defensa es un objetivo claro para actores gubernamentales. El informe, centrado en uno de los lados de ese delicado equilibrio, explica con bastante detalle la actividad de numerosos grupos de espionaje y hacktivismo, todos ellos con vínculos a países como Rusia, China, Corea del Norte e Irán.

 

Grupos vinculados a Rusia y China

En el caso de Rusia, casi toda su actividad ha girado en torno a Ucrania. Entre otros ejemplos, el colectivo hacktivista KillNet señaló que supuestamente había logrado deshabilitar la capacidad ucraniana de monitorizar los drones de su espacio aéreo; desde 2023, al menos una decena de grupos de ciberespionaje (desde APT44 hasta UNC5114, UNC6096 o UNC5976) han lanzado campañas de phishing y malware para obtener acceso a la industria Aeroespacial y de Defensa, tanto de Ucrania como de Reino Unido, Alemania, Francia, Suecia y Noruega. Y con el foco puesto, especialmente, en naves no tripuladas.

Respecto a China, los actores vinculados con su gobierno son los más activos en cuanto a su volumen total. Su estrategia busca obtener un acceso sigiloso y a largo plazo en las organizaciones de defensa. Entre otros señuelos, utilizan invitaciones a congresos profesionales o cursos, así como emails con ofertas de trabajo falsas. Son campañas muy personalizadas que tienen en cuenta perfiles profesionales, intereses personales o la ubicación de los objetivos.

 

Objetivos de grupos relacionados con Corea del Norte e Irán

Las motivaciones de los grupos vinculados con Corea del Norte, siguiendo la línea de los últimos años, responder más a una cuestión económica. Continúa la práctica de infiltrarse en compañías a través de “empelados digitales”. Como ejemplo, en junio de 2025, el Departamento de Justicia de Estados Unidos interrumpió una operación que incluía granjas de portátiles en 29 ubicaciones de 16 estados. Con las mismas técnicas de ingeniería social grupos como APT45, APT43 y UNC2970 se han centrado en el sector Defensa.

En el caso de Irán, el informe detalla la actividad de grupos como UNC1549 y UNC6446, que desde 2022 también lanzan campañas dirigidas a los sectores Aeroespacial y Defensa. En su caso, utilizan portales de trabajo y ofertas falsas, así como aplicaciones maliciosas, en particular a empresas de aviación, aeroespaciales y de tecnología de aviones no tripulados.

Luke McNamara, deputy chief analyst de GTIG y uno de los autores del informe, señala que “la industria de la Defensa sigue siendo un objetivo primordial para las operaciones cibernéticas sofisticadas. Desde los ataques en primera línea contra desarrolladores de drones en Ucrania hasta las sigilosas campañas de espionaje de actores de amenazas vinculados a China, el panorama de amenazas está cambiando rápidamente. A medida que la inversión global en defensa continúa creciendo, la gama cada vez más amplia de tácticas de los adversarios convierte la creación de resiliencia en todo el ecosistema en una prioridad urgente”.