Mientras Occidente combate los ataques de ransomware y las empresas privadas invierten en seguridad defensiva, al otro lado del frente digital, la guerra se desarrolla de forma asimétrica. El 28 de julio de 2025, la aerolínea nacional rusa, Aeroflot, fue víctima de un ciberataque masivo reivindicado por los grupos proucranianos Silent Crow y Cyberpartisans BY. Esto provocó cancelaciones de vuelos, un impacto financiero directo en el mercado de valores y, según fuentes clandestinas, la vulneración y destrucción de más de 7000 servidores internos.
El ataque representa una de las operaciones ofensivas más devastadoras sufridas por la infraestructura crítica rusa desde el inicio del conflicto con Ucrania.
La dinámica del ataque: un año de persistencia y compromiso total
Según el canal de Telegram Hackmanac Cyber News y una publicación en los renovados BreachForums, la operación duró más de un año, durante el cual los atacantes mantuvieron acceso persistente a los sistemas de Aeroflot hasta el ataque destructivo.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
¿El resultado?
Eliminación completa de 7000 servidores (físicos y virtuales)
La exfiltración de 22 terabytes de datos sensibles
54 vuelos cancelados solo el 28 de julio
Interrupciones informáticas a gran escala en aeropuertos rusos
Pero los datos exfiltrados no solo se refieren a la logística de los vuelos: incluyen el historial de vuelos, dispositivos de empleados, correos electrónicos de la empresa, datos de servidores de interceptación y archivos confidenciales de la alta dirección.
Los grupos involucrados: hacktivismo de alta intensidad
Cuervo Silencioso es un grupo relativamente nuevo, pero muy activo en el frente de la ciberguerra proucraniana. Ya se ha atribuido la responsabilidad de ataques contra instituciones gubernamentales rusas, empresas de TI, telecomunicaciones y aseguradoras.
En esta operación, colaboró con Cyberpartisans BY, un grupo bielorruso conocido por sus acciones de sabotaje contra el régimen de Lukashenko. Su objetivo declarado es
«liberar Bielorrusia y ayudar a Ucrania en su lucha contra el ocupante.»
Análisis técnico: ¿Qué se vio realmente comprometido?
Los detalles técnicos publicados por los atacantes ofrecen una imagen alarmante del sistema informático interno de Aeroflot, que parece ser un sistema crítico pero poco desarrollado, mal protegido y gestionado con superficialidad.
Infraestructura comprometida:
122 hipervisores
43 entornos ZVIRT (virtualización rusa)
Aproximadamente100 interfaces iLO para la gestión de servidores físicos
4 clústeres Proxmox
Acceso completo a miles de máquinas virtuales
Sistemas empresariales vulnerados:
Los atacantes obtuvieron acceso a prácticamente todos los sistemas principales:
Gestión de vuelos (TRIPULACIÓN, Saber)
ERP y CRM (1C, Sirax, SharePoint, KASUD)
Correo electrónico corporativo (Exchange)
Control de pérdida de datos (DLP)
Sistemas de vigilancia e intervención telefónica
Dispositivos terminales del personal, incluido el director ejecutivo
Datos recopilados:
12 TB de base de datos (historial de vuelos, mantenimiento, pasajeros)
8 TB de recursos compartidos de archivos en red (carpetas internas)
2 TB de correo electrónico
Audio de interceptaciones y comunicaciones internas
Datos de sistemas de monitoreo de personal
Según The Moscow Times, algunos De los sistemas críticos aún funcionaban con Windows XP, mientras que el director ejecutivo no había cambiado su contraseña en más de tres años.
El mensaje dejado por los atacantes
El análisis publicado en el sitio web oficial de CyberPartisans contiene un informe detallado de la operación contra Aeroflot, con capturas de pantalla, registros de actividad maliciosa y referencias cruzadas a los sistemas comprometidos. El contenido publicado también incluye el mensaje dejado por los atacantes en las terminales comprometidas, una clara señal de la naturaleza psicológica y política del ataque.
El mensaje, escrito en una combinación de ruso, alemán e inglés, dice:
Según las mismas fuentes, este mensaje apareció en numerosos endpoints corporativos cuando se borraron los servidores, lo que demuestra que la operación no se limitó a la exfiltración de datos, sino que también incluyó un componente de desfiguración y guerra psicológica.
Consecuencias económicas y reputacionales Daño
El daño a la reputación es solo la punta del iceberg:
Las acciones de Aeroflot cayeron un 3,9% en la bolsa
54 vuelos cancelados solo el día del ataque
Interrupciones y retrasos en las operaciones de vuelo y la facturación
Posible daño diplomático en caso de divulgación pública de los 22 TB exfiltrados
Roskomnadzor ha declarado que actualmente no hay pruebas de una filtración de datos personales, pero Silent Crow ha amenazado a la publicación si no recibe atención mediática y política.
El ataque a Aeroflot no es un simple ciberincidente. Es una operación a gran escala que combina espionaje, sabotaje y guerra psicológica. El nivel de compromiso sugiere no solo una brecha de seguridad, sino también una verdadera bancarrota cultural en la gestión interna de TI.
En medio de una guerra híbrida en la que la aviación es a la vez símbolo e infraestructura, atacar a Aeroflot significa atacar la identidad y la movilidad de la propia Rusia.
Ahora queda por ver: ¿qué contendrán esos 22 TB? ¿Y cuánto tiempo podrá el Kremlin mantenerlos fuera del ojo público?
Luca Stivali Entusiasta de la ciberseguridad y empresario en el sector de las TI desde hace 25 años, experto en diseño de redes y gestión de sistemas informáticos complejos. Pasión por un enfoque proactivo de la ciberseguridad: entender cómo y de qué protegerse es crucial.
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
Luca Stivali
