Gustavo Sied

AI-Driven Systems · DevOps · Cloud · Seguridad

Infraestructura Observabilidad Seguridad

Nombramiento de Kozlov en el Consejo de Seguridad ruso: implicancias en ciberseguridad global

PorGustavo

May 26, 2026

Introducción

En mayo de 2025, el Kremlin nombró a Andrei Kozlov como asesor del secretario del Consejo de Seguridad ruso, Sergei Shoigu. Kozlov, exjefe del centro de ciberseguridad RT-Information Security (operado por Rostec, conglomerado estatal de defensa), no es un perfil cualquiera: según filtraciones del medio independiente The Insider, su pasado incluye un acceso clasificados bajo la Military Unit 26165 (también conocida como 85th Main Special Service Center). Este organismo militar ruso ha sido identificado por gobiernos occidentales y firmas de ciberseguridad como la unidad operativa detrás de Fancy Bear (APT28, BlueDelta, Forest Blizzard), un grupo de amenazas persistentes avanzadas (APT) activo desde al menos 2014 y vinculado a ciberespionaje, robo de credenciales e influencia operativa contra gobiernos, contratistas de defensa y empresas logísticas en Europa y EE.UU.

La designación no es aislada. Su predecesor en el rol, Pavel Konovalchik, también habría estado vinculado a la misma unidad GRU. En abril de 2025, Konovalchik fue nombrado primer director general adjunto de TASS (agencia de noticias estatal rusa), consolidando un patrón de circulación de figuras con perfiles militares en cargos estratégicos. Para equipos de DevOps, infraestructura cloud y seguridad, este movimiento reviste riesgos concretos: operaciones de influencia en cadenas de suministro, posibles backdoors en software de proveedores rusos sancionados, y un contexto geopolítico que exige revisar terceros con exposición a Rusia.

Qué ocurrió

El 16 de mayo de 2025, el Kremlin anunció oficialmente el nombramiento de Kozlov como asesor en el Consejo de Seguridad ruso. Según el comunicado, su rol incluye asesorar en ciberseguridad, protección de infraestructura crítica y operaciones de influencia. Sin embargo, el detalle clave emerge de su trayectoria:

  1. Military Unit 26165 y Fancy Bear:
– La unidad 26165 es la unidad GRU responsable de operaciones de ciberguerra y espionaje, según informes de Mandiant (2021) y CrowdStrike (2020).

– Fancy Bear ha sido asociado a CVE-2017-11882 (vulnerabilidad en Microsoft Office explotada masivamente en 2017), CVE-2018-4878 (exploit en Adobe Flash) y ataques a routers MikroTik en 2018, según análisis de Unit 42 (Palo Alto Networks).

– En 2022, Kozlov asumió como director interino de RT-Information Security (RT-IB), un centro de ciberseguridad de Rostec que:

– Proporciona protección a infraestructura crítica (energía, transporte, salud).

– Ofrece servicios de respuesta a incidentes, pentesting y auditorías.

– Fue sancionado por EE.UU. y la UE en 2022 (Reglamento UE 2022/1116 y Orden Ejecutiva 14024).

  1. Conexión con RT-IB:
– RT-IB es una subsidiaria de Rostec, entidad sancionada por EE.UU. por su apoyo a la guerra en Ucrania. Según el Departamento del Tesoro de EE.UU. (2022), Rostec provee componentes electrónicos para sistemas de armamento rusos, incluyendo drones y sistemas de comunicación.

– En 2024, Kozlov lideró la Asociación Rusa de Organizaciones de Ciberseguridad y Seguridad de la Información (ROCIT), que agrupa a empresas locales con vínculos directos a agencias de inteligencia. ROCIT fue incluida en la lista de sanciones de Canadá en 2024 por facilitar operaciones de influencia rusa.

  1. Contexto del Consejo de Seguridad ruso:
– Este órgano, liderado por Shoigu, es el principal asesor de Putin en seguridad nacional. Sus miembros incluyen a jefes de inteligencia, comandantes militares y el ministro de Defensa.

– La incorporación de Kozlov refuerza la integración entre ciberseguridad civil y militar, un modelo que ya había sido documentado en casos como el de Konstantin Malofeev (oligarca sancionado por financiar operaciones de influencia en Europa).

Impacto para DevOps / Infraestructura / Cloud / Seguridad

El nombramiento de Kozlov tiene implicancias directas y tangibles para equipos técnicos globales. A continuación, los riesgos clave y cómo mitigarlos:

1. Riesgo en la cadena de suministro de software

  • Proveedores rusos sancionados: RT-IB y Rostec figuran en listas de sanciones (OFAC, UE, UK). Equipos que utilicen herramientas de estos proveedores —como sistemas de monitoreo, SIEM o plataformas de pentesting— podrían estar exponiéndose a software con backdoors o puertas traseras.
– Ejemplo: En 2023, la firma Kaspersky (con sede en Rusia) fue prohibida en contratos del gobierno de EE.UU. por sospechas de filtración de datos a agencias rusas (Orden Ejecutiva 13942).

Acción concreta: Auditar proveedores con alcance geopolítico. Usar herramientas como SBOM (Software Bill of Materials) para identificar componentes de RT-IB o Rostec en stacks tecnológicos.

2. Exposición en infraestructura crítica

  • Sectores regulados: Energía, salud, transporte y defensa son blancos prioritarios de APT28. En 2024, el grupo atacó a hospitales en Polonia (CVE-2024-38112, exploit en Apache Log4j) y a operadoras de gas en Alemania (campaña GhostEmperor).
Impacto: Equipos de DevOps en estos sectores deben priorizar:

Segmentación de redes (NIST SP 800-41).

Despliegue de EDR/XDR con reglas específicas para tráfico hacia/desde IPs rusas (ej: bloquear ASN 48263 —Rostelecom— en firewalls).

3. Operaciones de influencia y desinformación

  • APT28 no solo roba datos: También modifica contenido en sitios web y distribuye malware para manipular percepciones. En 2022, el grupo alteró páginas de agencias gubernamentales ucranianas para difundir narrativas pro-rusas.
Riesgo para SRE: Equipos que operen sistemas con públicos internacionales (ej: plataformas de e-commerce, medios) deben monitorear:

Defacement de DNS (ej: ataque a The Kyiv Independent en 2022).

Phishing con dominios homógrafos (ej: g00gle[.]com vs google[.]com).

4. Cumplimiento y auditoría

  • Sanciones y regulaciones: Equipos en EE.UU., UE o Reino Unido deben:
Verificar listados actualizados (OFAC SDN List, UE 2022/1116).

Bloquear transacciones con entidades rusas en herramientas de CI/CD (ej: GitHub Actions, GitLab CI).

Documentar excepciones con justificación técnica (ej: soporte heredado en sistemas de legado).

Detalles técnicos

Military Unit 26165 (Fancy Bear/APT28): Tácticas, Técnicas y Procedimientos (TTPs)

Según análisis de Mandiant (2023) y CrowdStrike (2024), APT28 opera con un arsenal estandarizado:

**Técnica****Herramienta/CVE****Uso documentado****Mitigación**
**Explotación de CVEs**CVE-2017-11882 (Office)Ataques a ministerios europeos (2017)Parchear Office y usar EMET/WDEG
**Phishing con OneDrive**Spoofing de dominiosCampaña *Pawn Storm* (2020)Autenticación multifactor (MFA)
**Backdoors en routers**MikroTik CVE-2018-14847Infección de 500+ routers en 2018Deshabilitar UPnP y usar firmware actualizado
**Modificación de DNS**Alteración de registros A/AAAADefacement de sitios ucranianos (2022)DNSSEC y monitoreo de cambios en DNS
**Malware residente**Zebrocy, Sofacy, CannonPersistencia en sistemas WindowsEDR con detección de comportamientos anómalos
Infraestructura de mando y control (C2):

– APT28 usa dominios legítimos comprometidos (ej: adobe-update[.]com) y servidores VPS en Rusia (ASN 48263, ASN 9002).

Herramientas de análisis: Equipos pueden usar Shodan para buscar IPs asociadas a estos ASN y bloquearlas en firewalls.

RT-IB y su rol en el ecosistema ruso

  • Servicios ofrecidos:
Pentesting: Usa herramientas como Metasploit Pro, Cobalt Strike (según leaks de 2023).

Auditorías de seguridad: En 2024, auditó sistemas de Rosatom (empresa nuclear rusa), según informe de The Insider.

  • Vínculos con GRU:
– Según Bellingcat (2024), RT-IB compartió información con la GRU en 2022 durante el ataque a la red eléctrica ucraniana (incidente Sandworm).

Qué deberían hacer los administradores y equipos técnicos

1. Auditar la cadena de suministro de software

  • Identificar componentes rusos:
  # Usar Syft (Anchore) para generar SBOM de contenedores/images
  syft alpine:latest -o spdx-json > sbom-alpine.json

  # Buscar strings rusos en dependencias
  grep -r "rostec\|rt-ib\|russia" $(find . -name "*.json" -o -name "*.yaml")
  • Reemplazar proveedores sancionados:
– Ejemplo: Si usás Kaspersky Endpoint Security, migrá a SentinelOne o CrowdStrike.

Comando específico:

    apt remove kaspersky-endpoint-security && apt autoremove
    wget -qO - https://downloads.sentinelone.com/... | dpkg -i -

2. Segmentar redes y aplicar controles de acceso

  • Bloquear ASN rusas en firewalls:
  # Ejemplo para iptables (basado en ASN 48263 - Rostelecom)
  iptables -A INPUT -s 91.222.128.0/17 -j DROP
  iptables -A OUTPUT -d 91.222.128.0/17 -j DROP

  # Para firewalls modernos (ej: pfSense)
  # Bloquear tráfico hacia/desde ASN 48263, 9002, 20764
  • Aplicar Zero Trust:
– Usar Cloudflare Access o Google BeyondCorp para autenticar todo el tráfico, incluso interno.

3. Monitorear y responder a amenazas activas

  • Reglas para SIEM:
Sigma rule para APT28:
    title: APT28 Lateral Movement via PsExec
    id: 123e456-7890-1234-5678-1234567890ab
    detection:
      selection:
        EventID: 4624
        LogonType: 3
        ProcessName: 'C:\Windows\System32\svchost.exe'
        CommandLine: '* -s -accepteula -nop -dcomlaunch -runservice'
      condition: selection
  • Ejecutar simulacros:
– Simular un ataque de Fancy Bear con Atomic Red Team (ej: T1059.001 – PowerShell).
    ./atomic.sh T1059.001

4. Revisar políticas de cumplimiento

  • Actualizar listas de sanciones:
  # Descargar lista OFAC SDN en formato CSV
  wget https://sanctionssearch.ofac.treas.gov/Download/DownloadFile.ashx?Type=SDN&File=SDN_List.csv

  # Validar contra proveedores en /etc/apt/sources.list o archivos de dependencias
  • Documentar excepciones:
– Si no podés remover un proveedor ruso, registrá el riesgo y aplicalo mínimo privilegio.

Conclusión

El nombramiento de Andrei Kozlov no es un movimiento burocrático: es un refuerzo institucional entre la ciberseguridad civil y militar rusa. Para equipos de DevOps, infraestructura cloud y seguridad, esto se traduce en tres acciones urgentes:

  1. Auditar proveedores: Eliminar o aislar software vinculado a RT-IB, Rostec o Kaspersky.
  2. Segmentar y monitorear: Bloquear ASN rusas, aplicar Zero Trust y configurar reglas SIEM para TTPs de APT28.
  3. Cumplir con sanciones: Validar listas OFAC/UE en pipelines de CI/CD y documentar riesgos residuales.

En un contexto donde APT28 sigue activo (últimos ataques en 2025 a empresas de logística en Europa), la indiferencia no es una opción. La ciberseguridad ya no es solo técnica: es geopolítica aplicada a la infraestructura.

Fuentes

Por Gustavo

Entrada relacionada

DevOps Observabilidad Seguridad

Comandos slash de GitHub Copilot CLI: guía esencial para DevOps y SRE

Jun 16, 2026 Gustavo
Cloud DevOps Observabilidad

AWS DevOps Agent incorpora agentes SRE personalizados y protocolos MCP/A2A para automatización avanzada

Jun 16, 2026 Gustavo
Cloud Infraestructura Redes

Amazon ECS Express Mode ahora disponible en AWS GovCloud (US): novedades para entornos regulados

Jun 15, 2026 Gustavo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

You missed

DevOps Observabilidad Seguridad

Comandos slash de GitHub Copilot CLI: guía esencial para DevOps y SRE

16 junio, 2026 Gustavo
Cloud DevOps Observabilidad

AWS DevOps Agent incorpora agentes SRE personalizados y protocolos MCP/A2A para automatización avanzada

16 junio, 2026 Gustavo
Cloud Infraestructura Redes

Amazon ECS Express Mode ahora disponible en AWS GovCloud (US): novedades para entornos regulados

15 junio, 2026 Gustavo
Cloud DevOps Redes Seguridad

AWS Route 53 DNS Firewall integra Palo Alto Networks Advanced DNS Security en preview

15 junio, 2026 Gustavo