Este artículo es parte de nuestra guía de personajes clave que están definiendo la geopolítica actual.
Más allá de los líderes políticos y empresariales, una nueva clase de actores no estatales, o a veces estatales pero operando en las sombras, ejerce una influencia geopolítica disruptiva: los grupos de hackers. Estos "soldados" digitales operan desde las trincheras del ciberespacio, librando batallas por la inteligencia, el dinero y la infraestructura crítica, con consecuencias que se extienden mucho más allá del ámbito digital.
Gamaredon: los espías traidores que acosan implacablemente a Ucrania
Gamaredon, también conocido como Armageddon, es una de las mayores amenazas de ciberespionaje que enfrenta Ucrania, a pesar de la relativa falta de sofisticación de sus tácticas. Se cree que este grupo trabaja para el servicio de inteligencia ruso FSB, y lo que lo hace particularmente notorio es que algunos de sus miembros son "traidores" de los servicios de seguridad ucranianos, desertores de Crimea tras la anexión rusa en 2014. El gobierno ucraniano los acusa de haber "traicionado su juramento" y los ha condenado por traición y delitos de piratería en ausencia en octubre de 2024.
Desde finales de 2013, Gamaredon ha mantenido un bombardeo incesante de campañas de intrusión, realizando miles de ataques contra organizaciones ucranianas, incluidas infraestructuras críticas como centrales eléctricas y sistemas de suministro de agua y calor. Su método principal es el spear-phishing (mensajes falsos con archivos adjuntos maliciosos) y el uso de unidades USB infectadas. Aunque sus tácticas son simples y repetitivas, su volumen abrumador y su persistencia implacable los convierten en una fuerza extremadamente peligrosa.
ESET, una firma de ciberseguridad, estima que Gamaredon ha robado miles de archivos diarios y ha infectado la misma máquina con hasta 120 variantes de malware en una semana. A mediados de 2025, el grupo ha ampliado su recolección de inteligencia a herramientas de mensajería como Signal, WhatsApp y Telegram, y al software Delta utilizado por el ejército ucraniano, lo que subraya su impacto directo en la guerra en curso. Para los defensores cibernéticos, lidiar con Gamaredon es un trabajo tedioso, pero con stakes altísimos: secretos robados pueden significar la diferencia entre la vida y la muerte en el campo de batalla.
https://www.bbc.com/mundo/articles/cpw5djwlpjpo
Los hackers representan una amenaza para los archivos.
Getty Images
TraderTraitor: los reyes del gran robo de criptomonedas de Corea del Norte
TraderTraitor, conocido también como Jade Sleet, Slow Pisces o UNC4899, es considerado uno de los grupos de ciberdelincuencia más sofisticados del mundo, vinculado al notorio Lazarus Group de Corea del Norte y operado por la Oficina General de Reconocimiento, la agencia de inteligencia norcoreana. Su objetivo principal es claro y geopolíticamente crítico: financiar el programa de armas nucleares del régimen ermitaño de Kim Jong-un a través del robo masivo de criptomonedas.
El 21 de febrero de 2025, TraderTraitor presuntamente ejecutó el mayor atraco de criptomonedas de la historia, robando casi $1.5 mil millones de una billetera de la segunda bolsa de criptomonedas más grande, Bybit. El FBI rápidamente atribuyó el ataque a este grupo norcoreano. Este golpe masivo se suma a otros robos de alto perfil, como los $308 millones de DMM en marzo de 2024.
TraderTraitor utiliza técnicas avanzadas que incluyen la creación de perfiles falsos en plataformas de desarrollo (GitHub, LinkedIn, Slack, Telegram) para infiltrarse en empresas Web3, el uso de backdoors personalizadas (como PLOTTWIST y TIEDYE) que se autoejecutan y borran, y un sofisticado proceso de lavado de dinero con criptomonedas para ocultar las transacciones y evitar la incautación de los activos robados. Su capacidad para infiltrar cadenas de suministro de software (como en el caso de JumpCloud en 2023) les proporciona un acceso sigiloso a múltiples objetivos. La implacable búsqueda de estos hackers para obtener fondos demuestra que Corea del Norte es el "lavador de activos cripto más sofisticado y mejor equipado", con una adaptación continua de técnicas para evadir la detección, lo que representa una seria amenaza para la seguridad financiera global.
0028789001.webp
El hacker denominó a la filtración "RockYou2021"
CyberAv3ngers: los saboteadores iraníes que atacan sistemas de agua y gas en todo el mundo
CyberAv3ngers, un grupo de hackers supuestamente vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, ha emergido como un actor clave en la creciente ciberguerra entre Irán e Israel, extendiendo sus operaciones a infraestructura crítica a nivel mundial. Aunque inicialmente se presentaron como "hacktivistas", las autoridades estadounidenses (que han ofrecido una recompensa de $10 millones por información sobre ellos) los identifican como una unidad patrocinada por el Estado dedicada al ciber-sabotaje.
Desde el estallido de la guerra entre Israel y Hamás en octubre de 2023, CyberAv3ngers ha intensificado sus acciones, enfocándose en sistemas de control industrial (ICS) como los utilizados en servicios de agua, aguas residuales, petróleo y gas. En noviembre de 2023, lograron acceder a más de 100 dispositivos de la firma israelí Unitronics (utilizados en plantas de agua), reconfigurando su código para interrumpir servicios en instalaciones como una planta de agua y una cervecería cerca de Pittsburgh (EE.UU.), además de múltiples servicios de agua en Israel e Irlanda.
Aunque algunas de sus afirmaciones sobre apagones masivos resultaron ser falsas, su capacidad para alterar sistemas operativos de infraestructura vital es real y peligrosa. Sus acciones se insertan en un ciclo de "ojo por ojo" con grupos rivales, como Predatory Sparrow, que ataca la infraestructura iraní.
A mediados de 2025, CyberAv3ngers ha mostrado signos de una evolución peligrosa. Se descubrió que habían infectado una amplia variedad de sistemas de control industrial y dispositivos IoT en todo el mundo con un backdoor basado en Linux llamado IOControl. A pesar de la neutralización de su servidor de comando y control por parte del FBI en diciembre de 2024, el grupo ha demostrado su intención de pasar de simples ataques de vandalismo a convertirse en una amenaza persistente y capaz de interrumpir infraestructura extranjera a voluntad. Esto convierte a CyberAv3ngers en un "botón rojo" potencial para el gobierno iraní, capaz de causar una disrupción digital generalizada en cualquier momento estratégico.
0026262105.jpg
El Departamento de Justicia de EE.UU. atribuye el ataque a un grupo de hackers conocido como nullFancy Bearnull.
Getty Images
