El Google Threat Intelligence Group (GTIG) ha publicado el informe Beyond the Battlefield: Threats to the Defense Industrial Base, en el que examina cómo los conflictos contemporáneos se libran cada vez más en el ciberespacio, con ataques dirigidos no solo a sistemas militares, sino también a empresas de defensa, sus cadenas de suministro y su personal.
GTIG integra los equipos de Mandiant Intelligence y Threat Analysis Group (TAG) y centra su labor en identificar, analizar y mitigar amenazas contra Alphabet, sus usuarios y clientes. Entre ellas figuran operaciones respaldadas por Estados, explotación de vulnerabilidades de día cero, campañas de desinformación coordinadas y redes de ciberdelincuencia.
Ataques vinculados a la guerra en Ucrania
El informe señala que empresas que desarrollan sistemas de aeronaves no tripuladas (UAS) utilizados en la guerra entre Rusia y Ucrania han sido objeto de ataques directos por parte de actores vinculados a Rusia. Según el análisis, estos grupos han llegado a suplantar productos de defensa con el objetivo de comprometer a personal militar.
Además, se detecta un aumento de la actividad hacktivista prorrusa relacionada con el uso de drones por parte de Ucrania. A finales de 2025, se identificaron operaciones cibernéticas en torno a los UAS desplegados en el campo de batalla, lo que refleja tanto su relevancia operativa como el intento de ciertos grupos de atribuirse impacto en el terreno físico.
Empleados y cadena de suministro, puntos débiles
El documento subraya que los trabajadores de empresas de defensa se han convertido en un vector de ataque clave. Los actores maliciosos explotan procesos de selección, cuentas personales de correo electrónico y entornos de trabajo remoto para eludir controles corporativos tradicionales.
También advierte de que el sector manufacturero, incluidos proveedores de uso dual, sufre ataques constantes, pese a que las empresas de defensa representan una porción menor de la actividad de ransomware. Esta vulnerabilidad en la cadena de suministro podría afectar a la capacidad de escalar la producción en situaciones de crisis.
Espionaje chino y foco en Europa
El informe identifica el espionaje vinculado a China como la amenaza estatal más activa por volumen. Los atacantes muestran un interés creciente en la explotación de dispositivos de borde y electrodomésticos inteligentes para lograr accesos persistentes y discretos a organizaciones del sector defensa.
En Europa, la actividad de espionaje rusa se ha dirigido específicamente contra empresas del ámbito militar. GTIG sospecha que el grupo identificado como UNC5976 ha llevado a cabo campañas de phishing desde enero de 2025, suplantando a contratistas de defensa y proveedores de telecomunicaciones mediante infraestructuras que imitaban a compañías del Reino Unido, Alemania, Francia, Suecia y Noruega.
Advertencia sobre la resiliencia del sector
Luke McNamara, deputy chief analyst de GTIG y uno de los autores del informe, afirma que "la industria de la Defensa sigue siendo un objetivo primordial para las ciberoperaciones sofisticadas". En su valoración, "desde el ataque directo a los desarrolladores de drones en Ucrania hasta las sigilosas campañas de espionaje de actores vinculados a China, el panorama de amenazas está cambiando rápidamente".
McNamara añade que, a medida que aumenta la inversión global en defensa, "la expansión de las tácticas de los adversarios convierte la resiliencia de todo el ecosistema en una prioridad urgente".
El informe completo está disponible públicamente aquí y forma parte de los análisis periódicos de amenazas elaborados por el equipo de inteligencia de Google.
