¡7000 servidores destruidos! Silent Crow y Cyberpartisans BY devastan Aeroflot en un ciberataque histórico.

Luca Stivali : 29 julio 2025 07:40

Mientras Occidente combate los ataques de ransomware y las empresas privadas invierten en seguridad defensiva, al otro lado del frente digital, la guerra se desarrolla de forma asimétrica. El 28 de julio de 2025, la aerolínea nacional rusa, Aeroflot, fue víctima de un ciberataque masivo reivindicado por los grupos proucranianos Silent Crow y Cyberpartisans BY. Esto provocó cancelaciones de vuelos, un impacto financiero directo en el mercado de valores y, según fuentes clandestinas, la vulneración y destrucción de más de 7000 servidores internos.

El ataque representa una de las operaciones ofensivas más devastadoras sufridas por la infraestructura crítica rusa desde el inicio del conflicto con Ucrania.

La dinámica del ataque: un año de persistencia y compromiso total

Según el canal de Telegram Hackmanac Cyber News y una publicación en los renovados BreachForums, la operación duró más de un año, durante el cual los atacantes mantuvieron acceso persistente a los sistemas de Aeroflot hasta el ataque destructivo.

¿El resultado?

• Eliminación completa de 7000 servidores (físicos y virtuales)
• La exfiltración de 22 terabytes de datos sensibles
• 54 vuelos cancelados solo el 28 de julio
• Interrupciones informáticas a gran escala en aeropuertos rusos

Pero los datos exfiltrados no solo se refieren a la logística de los vuelos: incluyen el historial de vuelos, dispositivos de empleados, correos electrónicos de la empresa, datos de servidores de interceptación y archivos confidenciales de la alta dirección.

Los grupos involucrados: hacktivismo de alta intensidad

Cuervo Silencioso es un grupo relativamente nuevo, pero muy activo en el frente de la ciberguerra proucraniana. Ya se ha atribuido la responsabilidad de ataques contra instituciones gubernamentales rusas, empresas de TI, telecomunicaciones y aseguradoras.

En esta operación, colaboró con Cyberpartisans BY, un grupo bielorruso conocido por sus acciones de sabotaje contra el régimen de Lukashenko. Su objetivo declarado es

«liberar Bielorrusia y ayudar a Ucrania en su lucha contra el ocupante.»

Análisis técnico: ¿Qué se vio realmente comprometido?

Los detalles técnicos publicados por los atacantes ofrecen una imagen alarmante del sistema informático interno de Aeroflot, que parece ser un sistema crítico pero poco desarrollado, mal protegido y gestionado con superficialidad.

Infraestructura comprometida:

• 122 hipervisores
• 43 entornos ZVIRT (virtualización rusa)
• Aproximadamente100 interfaces iLO para la gestión de servidores físicos
• 4 clústeres Proxmox
• Acceso completo a miles de máquinas virtuales

Sistemas empresariales vulnerados:

Los atacantes obtuvieron acceso a prácticamente todos los sistemas principales:

• Gestión de vuelos (TRIPULACIÓN, Saber)
• ERP y CRM (1C, Sirax, SharePoint, KASUD)
• Correo electrónico corporativo (Exchange)
• Control de pérdida de datos (DLP)
• Sistemas de vigilancia e intervención telefónica
• Dispositivos terminales del personal, incluido el director ejecutivo

Datos recopilados:

• 12 TB de base de datos (historial de vuelos, mantenimiento, pasajeros)
• 8 TB de recursos compartidos de archivos en red (carpetas internas)
• 2 TB de correo electrónico
• Audio de interceptaciones y comunicaciones internas
• Datos de sistemas de monitoreo de personal

Según The Moscow Times, algunos De los sistemas críticos aún funcionaban con Windows XP, mientras que el director ejecutivo no había cambiado su contraseña en más de tres años.

El mensaje dejado por los atacantes

El análisis publicado en el sitio web oficial de CyberPartisans contiene un informe detallado de la operación contra Aeroflot, con capturas de pantalla, registros de actividad maliciosa y referencias cruzadas a los sistemas comprometidos. El contenido publicado también incluye el mensaje dejado por los atacantes en las terminales comprometidas, una clara señal de la naturaleza psicológica y política del ataque.

El mensaje, escrito en una combinación de ruso, alemán e inglés, dice:



Según las mismas fuentes, este mensaje apareció en numerosos endpoints corporativos cuando se borraron los servidores, lo que demuestra que la operación no se limitó a la exfiltración de datos, sino que también incluyó un componente de desfiguración y guerra psicológica.

Consecuencias económicas y reputacionales Daño

El daño a la reputación es solo la punta del iceberg:

• Las acciones de Aeroflot cayeron un 3,9% en la bolsa
• 54 vuelos cancelados solo el día del ataque
• Interrupciones y retrasos en las operaciones de vuelo y la facturación
• Posible daño diplomático en caso de divulgación pública de los 22 TB exfiltrados



Roskomnadzor ha declarado que actualmente no hay pruebas de una filtración de datos personales, pero Silent Crow ha amenazado a la publicación si no recibe atención mediática y política.

El ataque a Aeroflot no es un simple ciberincidente. Es una operación a gran escala que combina espionaje, sabotaje y guerra psicológica. El nivel de compromiso sugiere no solo una brecha de seguridad, sino también una verdadera bancarrota cultural en la gestión interna de TI.

En medio de una guerra híbrida en la que la aviación es a la vez símbolo e infraestructura, atacar a Aeroflot significa atacar la identidad y la movilidad de la propia Rusia.

Ahora queda por ver: ¿qué contendrán esos 22 TB? ¿Y cuánto tiempo podrá el Kremlin mantenerlos fuera del ojo público?

Fuentes:

• Ars Technica – Ataque a Aeroflot
• Reuters – Ciberataque contra Aeroflot
• The Record – Retrasos e interrupciones en Rusia
• Radio Svoboda – Hackers contra Aeroflot
• The Moscow Times – Sistemas obsoletos y las contraseñas nunca cambiaron
Luca Stivali
Entusiasta de la ciberseguridad y empresario en el sector de las TI desde hace 25 años, experto en diseño de redes y gestión de sistemas informáticos complejos. Pasión por un enfoque proactivo de la ciberseguridad: entender cómo y de qué protegerse es crucial.

Lista degli articoli