El 28 de julio de 2025, la aerolínea rusa Aeroflot sufrió un ciberataque devastador que paralizó sus operaciones y resultó en la cancelación de 49 vuelos desde Moscú. Este incidente expone las vulnerabilidades críticas en la infraestructura de transporte aéreo y demuestra cómo los actores maliciosos pueden mantener acceso persistente a sistemas corporativos durante períodos prolongados.
Anatomía de una Infiltración Sofisticada
Dos grupos de hackers conocidos, Cyberpartisans BY y Silent Crow, se atribuyeron la responsabilidad del ataque. Según sus declaraciones, los atacantes mantuvieron presencia en la red corporativa de Aeroflot durante un año completo, empleando técnicas de movimiento lateral para expandir gradualmente su acceso a sistemas críticos.
Los ciberdelincuentes lograron obtener privilegios de Tier0, el nivel más alto de acceso administrativo, lo que les otorgó control total sobre la infraestructura IT de la compañía. Esta escalada de privilegios les permitió comprometer 122 hipervisores, 43 instalaciones de virtualización y aproximadamente 100 interfaces de gestión de servidores.
Magnitud del Compromiso de Datos
El volumen de información sustraída resulta alarmante: 12 TB de bases de datos, 8 TB de archivos corporativos y 2 TB de correo electrónico. Los sistemas comprometidos incluyen plataformas críticas como CREW, Sabre, SharePoint, Exchange, sistemas de gestión documental y soluciones ERP.
Particularmente preocupante es el acceso reportado a sistemas de monitoreo y vigilancia del personal, incluyendo grabaciones de audio de conversaciones telefónicas de la alta dirección. Los atacantes afirman haber destruido aproximadamente 7,000 servidores físicos y virtuales, causando daños masivos a la infraestructura tecnológica.
Historial de Ataques Previos
Silent Crow tiene un historial documentado de ataques exitosos contra organizaciones rusas de gran envergadura, incluyendo Rosreestr, Rostelecom, Kia Rusia y CIS, AlfaStrakhovanie-Vida y la base de clientes de Alfa-Bank. Por su parte, Cyberpartisans BY es conocido por sus ataques contra la infraestructura ferroviaria bielorrusa y el Centro Principal de Radiofrecuencias.
Respuesta Institucional y Medidas de Contención
Los representantes de Aeroflot confirmaron las fallas técnicas en sus sistemas de información pero evitaron comentar sobre las alegaciones específicas de los hackers. El equipo de especialistas de la compañía trabaja intensivamente en la restauración de servicios y la minimización de riesgos operacionales para el plan de vuelos.
La Fiscalía de Transporte Interregional de Moscú ha asumido el control de la situación y monitorea los desarrollos en el aeropuerto Sheremetyevo. Los atacantes han amenazado con comenzar la publicación gradual de datos robados, lo que podría amplificar significativamente las consecuencias del incidente.
Impacto Económico y Proceso de Recuperación
Las estimaciones de los atacantes sugieren que la restauración completa de la infraestructura IT podría costar decenas de millones de dólares y requerir un tiempo considerable. Caracterizan el daño como «estratégico», indicando consecuencias a largo plazo para las operaciones de la aerolínea.
Este incidente subraya la importancia crítica de implementar arquitecturas de seguridad de defensa en profundidad y sistemas de detección de amenazas avanzadas. Las organizaciones deben priorizar la segmentación de red, el monitoreo continuo de actividades anómalas y la implementación de controles de acceso basados en el principio de menor privilegio. La capacidad de los grupos APT para mantener persistencia durante meses en redes corporativas exige una vigilancia constante y estrategias proactivas de caza de amenazas para detectar indicadores de compromiso antes de que los atacantes alcancen sus objetivos finales.
