LOSTKEYS: El ciberarma de Cold River y el nuevo rostro del espionaje digital ruso

En el complejo tablero de la geopolítica moderna, la guerra ya no se libra únicamente en el campo de batalla. Los conflictos del siglo XXI han experimentado una evolución hacia los ciberespacios, donde las redes, los servidores y los correos electrónicos han dejado de ser simples herramientas de comunicación, convirtiéndose en los nuevos frentes de lucha. 

La guerra cibernética, una nueva dimensión de los conflictos internacionales, está cada vez más presente en la agenda de los gobiernos y las instituciones de seguridad global. Un claro ejemplo de esta evolución es la reciente revelación hecha por el equipo de seguridad de Google, que descubrió una sofisticada campaña de espionaje cibernético llevada a cabo por el grupo ruso Cold River. 

La campaña utilizó un malware de nueva creación llamado LOSTKEYS, que no solo representa una amenaza técnica en términos de ciberseguridad, sino también una advertencia sobre cómo las operaciones cibernéticas pueden influir en la política global, la opinión pública y la seguridad internacional. A continuación, ITD Consulting te explicará los detalles sobre el malware LOSTKEYS.

¿Quiénes son Cold River?

Cold River, también conocido bajo otros alias como Star Blizzard, UNC4057 o Callisto Group, es un grupo de ciberespionaje con fuertes vínculos con el gobierno ruso, en particular con el Servicio Federal de Seguridad (FSB), la principal agencia de inteligencia y seguridad de Rusia. Este grupo ha estado operando de forma activa desde, al menos, 2016, y sus actividades se han dirigido principalmente a realizar ataques de espionaje contra objetivos de alto valor en Occidente, incluidos gobiernos, agencias de inteligencia, instituciones militares, universidades, ONGs, periodistas y, más recientemente, organizaciones relacionadas con Ucrania.

LOSTKEYS: El ciberarma de Cold River y el nuevo rostro del espionaje digital ruso, innovación tecnológica, ciberseguridad, ciberataque, malware, Rusia, ITD Consulting, LOSTKEYS, geopolítica

Lo que distingue a Cold River de otros grupos de cibercriminales es su enfoque estratégico. A diferencia de actores que buscan obtener beneficios financieros inmediatos mediante el robo de datos personales o información financiera, el objetivo principal de Cold River es obtener información sensible y estratégica que pueda utilizarse para apoyar los intereses del Kremlin. La actividad de Cold River se ha centrado principalmente en la obtención de inteligencia política, económica y militar, con un énfasis especial en los conflictos geopolíticos que enfrenta Rusia, particularmente en su conflicto con Ucrania y las relaciones tensas con las naciones occidentales.

A lo largo de los años, el grupo Cold River ha utilizado una amplia variedad de herramientas de ciberespionaje, pero la aparición del malware LOSTKEYS ha elevado aún más su perfil. LOSTKEYS es una muestra de la sofisticación y el nivel de personalización que Cold River ha alcanzado en sus operaciones, lo que ha generado preocupación a nivel global sobre las implicaciones de la guerra cibernética en la seguridad y estabilidad internacional.

LOSTKEYS: Un malware diseñado para espionaje quirúrgico

El malware LOSTKEYS, descubierto por Google entre enero y abril de 2025, es un ejemplo sobresaliente de cómo los actores estatales pueden utilizar herramientas cibernéticas de forma dirigida y quirúrgica para obtener acceso a información altamente sensible. A diferencia de otras formas de malware, como el ransomware o los troyanos bancarios, que están diseñados para afectar a un gran número de usuarios de forma masiva, LOSTKEYS se utiliza de manera selectiva, con el objetivo de comprometer a individuos o entidades específicas. 

El grupo Cold River ha diseñado este malware LOSTKEYS con un enfoque preciso, apuntando a personas clave en gobiernos, fuerzas armadas, sectores de inteligencia, medios de comunicación y organizaciones no gubernamentales que están involucradas en cuestiones de alta importancia geopolítica. Uno de los aspectos más interesantes de LOSTKEYS es su capacidad de personalización. 

Cada ataque con LOSTKEYS parece estar específicamente diseñado para la víctima seleccionada, lo que hace que sea mucho más difícil detectarlo y mitigar sus efectos. Además, LOSTKEYS emplea una serie de técnicas avanzadas de evasión y ofuscación para evitar la detección por parte de los sistemas de seguridad tradicionales, lo que lo convierte en una herramienta extremadamente peligrosa.

Etapas del ataque de LOSTKEYS

El ataque llevado a cabo mediante el malware LOSTKEYS sigue una serie de etapas cuidadosamente orquestadas que combinan ingeniería social, técnicas avanzadas de evasión y explotación de vulnerabilidades en sistemas informáticos. Estas son las principales fases del ataque de LOSTKEYS:

1. Phishing altamente dirigido 

Cold River utiliza una técnica de phishing altamente sofisticada para engañar a sus víctimas. Los correos electrónicos de phishing son diseñados de manera que parecen legítimos, utilizando contexto real y detallado, como conferencias recientes o vínculos profesionales específicos. Estos correos incluyen enlaces a sitios web falsificados que imitan de forma precisa páginas gubernamentales o académicas auténticas. La confianza que estos correos generan en los destinatarios facilita el éxito del ataque de LOSTKEYS.

2. Simulación de CAPTCHA y activación oculta 

Al hacer clic en el enlace del correo electrónico, el usuario es redirigido a un sitio falso que presenta un formulario CAPTCHA aparentemente inofensivo. Este formulario tiene como objetivo engañar al usuario para que lo complete, lo que activa un script oculto que copia código malicioso en el portapapeles del usuario. Al realizar este paso, el malware LOSTKEYS se activa sin que la víctima se dé cuenta.

3. Ejecución mediante PowerShell 

En este paso, el usuario, al creer que está completando un proceso legítimo, ejecuta un comando en PowerShell, una herramienta de administración del sistema de Windows. Este comando descarga e instala el malware LOSTKEYS en el sistema de la víctima, sin dejar rastros visibles o notificaciones.

4. Persistencia y ocultamiento 

Una vez instalado, el malware LOSTKEYS se oculta en procesos legítimos del sistema, como svchost.exe, y establece tareas programadas que garantizan su persistencia. También LOSTKEYS emplea técnicas de ofuscación avanzadas para dificultar su detección por herramientas antivirus tradicionales.

5. Robo de información y exfiltración 

Una vez activado, LOSTKEYS comienza a escanear el sistema en busca de información sensible, como documentos confidenciales, credenciales de acceso, historiales de navegación y otros datos de interés estratégico. Esta información extraída por LOSTKEYS es luego enviada a servidores remotos controlados por Cold River, que cambian constantemente para evitar su rastreo.

Lo que distingue a LOSTKEYS de otras amenazas

Aunque existen miles de programas maliciosos en circulación, LOSTKEYS se distingue de muchos otros por varias razones clave que lo convierten en una amenaza estratégica de alto nivel:

Personalización extrema: A diferencia de muchos programas maliciosos, LOSTKEYS no es un malware genérico. Cada instancia del malware LOSTKEYS parece haber sido diseñada específicamente para el objetivo elegido, lo que implica que Cold River ha invertido recursos significativos para adaptar el ataque a las características particulares de cada víctima.

Infraestructura legítima: Para evitar ser detectado, Cold River utiliza servicios legítimos en la nube, como Dropbox, Google Drive o Amazon S3, para alojar y distribuir el malware LOSTKEYS. Este uso de infraestructura legítima complica enormemente la tarea de los defensores, ya que los filtros de seguridad convencionales suelen tener dificultades para identificar estas amenazas.

Tácticas evasivas avanzadas: LOSTKEYS es capaz de detectar si está siendo ejecutado en un entorno de análisis, como una sandbox, y puede desactivarse para evitar ser detectado. Esta táctica de evasión avanzada hace que la detección y mitigación del malware sea mucho más difícil.

Campaña de larga duración: A diferencia de muchos ataques cibernéticos que buscan obtener resultados inmediatos, el objetivo de Cold River con LOSTKEYS es establecer una presencia persistente en los sistemas de las víctimas, lo que permite robar información de manera constante durante semanas o incluso meses.

LOSTKEYS: El ciberarma de Cold River y el nuevo rostro del espionaje digital ruso, innovación tecnológica, ciberseguridad, ciberataque, malware, Rusia, ITD Consulting, LOSTKEYS, amenaza

Objetivos geopolíticos detrás del ataque

El uso del malware LOSTKEYS no puede entenderse sin considerar el contexto político en el que se inscribe. Desde la invasión de Ucrania por parte de Rusia en 2022, los ciberataques han jugado un papel fundamental en la estrategia rusa para debilitar la infraestructura ucraniana y socavar el apoyo occidental a Ucrania. 

En este contexto, el espionaje cibernético se ha convertido en una herramienta clave para obtener información sensible sobre los planes de los gobiernos occidentales y las políticas internacionales. Los objetivos seleccionados por Cold River en la campaña de LOSTKEYS han sido, en muchos casos, figuras clave que pueden influir en la política global, como diplomáticos críticos con el Kremlin, académicos influyentes en temas de sanciones económicas, expertos en seguridad energética y periodistas con visibilidad internacional. 

Al obtener acceso a la información personal y profesional de estas personas con el uso de LOSTKEYS, Rusia puede anticiparse a decisiones políticas, manipular la opinión pública o diseñar campañas de desinformación más efectivas.

Impacto de LOSTKEYS en la ciberseguridad internacional

El descubrimiento de LOSTKEYS ha generado una fuerte reacción entre las principales agencias de ciberseguridad a nivel mundial, que han lanzado medidas de alerta y reforzado sus defensas ante posibles ataques de este tipo. Entre las principales respuestas se incluyen:

  • Google: Ha bloqueado más de 100 dominios relacionados con Cold River e implementado alertas de seguridad para las víctimas potenciales.
  • Microsoft: Ha reforzado sus sistemas de alerta temprana para detectar accesos inusuales en cuentas institucionales.
  • NCSC (Reino Unido) y CISA (EE. UU.): Estas agencias han emitido recomendaciones a gobiernos y organizaciones privadas para reforzar sus sistemas de defensa ante amenazas cibernéticas.
  • OTAN: Ha intensificado sus esfuerzos en ciberinteligencia compartida, dado que varios funcionarios de la organización fueron objetivo de estos ataques.

¿Qué riesgos plantea para el usuario común?

Aunque LOSTKEYS ha sido utilizado principalmente contra objetivos de alto valor, sus métodos podrían ser adoptados por otros actores, lo que plantea riesgos significativos para usuarios comunes y organizaciones en todo el mundo. Los riesgos de LOSTKEYS incluyen:

Suplantación de identidad: Los datos robados por LOSTKEYS podrían ser utilizados para crear identidades falsas o manipular la información personal de figuras públicas.

Filtración de información confidencial: La información sensible obtenida por LOSTKEYS podría ser utilizada con fines de manipulación política o económica.

Reutilización del malware: Otros actores maliciosos podrían adaptar LOSTKEYS para sus propios fines, creando variantes más amplias que afecten a un mayor número de usuarios.

Ataques en cadena: Un sistema comprometido por LOSTKEYS podría ser utilizado como punto de entrada para infectar otras redes e instituciones.

Recomendaciones de ciberseguridad

A continuación, se presentan algunas medidas que pueden adoptar usuarios individuales, empresas y gobiernos para reducir el riesgo de infecciones por malwares como LOSTKEYS:

Para usuarios individuales:

  • No hacer clic en enlaces sospechosos: Verificar siempre el dominio de correos electrónicos que solicitan autenticación o cambios de contraseña.
  • Activar autenticación multifactor (MFA): Esta capa adicional de seguridad puede bloquear muchos ataques incluso si las credenciales son robadas.
  • Evitar copiar y pegar comandos en PowerShell o terminales: Esta técnica fue clave en el despliegue de LOSTKEYS.
  • Mantener software y antivirus actualizados: Mantener el sistema operativo, navegadores y antivirus al día es esencial para defenderse de amenazas cibernéticas.
  • Configurar alertas de seguridad: Muchas plataformas de correo electrónico, como Gmail o Outlook, permiten configurar notificaciones ante inicios de sesión inusuales.

Para organizaciones:

  • Implementar soluciones EDR (Endpoint Detection & Response): Estas herramientas ayudan a detectar comportamientos anómalos en dispositivos y redes.
  • Monitorear el tráfico saliente: Identificar conexiones a servidores sospechosos o no reconocidos puede ayudar a detectar un ataque en sus primeras etapas.
  • Capacitar al personal regularmente: La concienciación sobre phishing y ciberseguridad es fundamental para prevenir ataques.
  • Revisar políticas de acceso y privilegios: Aplicar el principio de mínimo privilegio para limitar el daño en caso de intrusión.
  • Realizar auditorías regulares de seguridad: Preferiblemente, estas auditorías deben ser realizadas por empresas externas para obtener una evaluación imparcial de la infraestructura.

Para gobiernos y organismos públicos:

  • Desarrollar infraestructura de ciberdefensa estatal: Los gobiernos deben fortalecer su capacidad para defenderse de amenazas avanzadas y apoyar a las entidades privadas vulnerables.
  • Colaboración internacional activa: La compartición de inteligencia en tiempo real es crucial para detectar y neutralizar amenazas cibernéticas de forma eficaz.
  • Legislación clara sobre ciberataques internacionales: Establecer marcos legales claros para definir responsabilidades y mecanismos de respuesta ante ciberataques.
  • Simulacros de cibercrisis: Los simulacros deben involucrar a sectores clave, como energía, salud y defensa, para mejorar la preparación ante posibles ataques a gran escala.
LOSTKEYS: El ciberarma de Cold River y el nuevo rostro del espionaje digital ruso, innovación tecnológica, ciberseguridad, ciberataque, malware, Rusia, ITD Consulting, LOSTKEYS, información

LOSTKEYS no es solo un malware sofisticado: es el reflejo de una transformación profunda en la manera en que los estados-nación llevan a cabo sus operaciones de inteligencia y conflicto. A lo largo de la historia, el espionaje ha sido una herramienta fundamental para conocer las intenciones y capacidades del adversario. 

Sin embargo, en el siglo XXI, esta actividad ha encontrado un nuevo campo de acción en el ciberespacio, donde las barreras geográficas desaparecen y los ataques pueden ejecutarse de forma remota, sigilosa y con impacto global. La existencia de amenazas como LOSTKEYS demuestra que los gobiernos están dispuestos a invertir en capacidades ofensivas cibernéticas, no solo como herramientas de defensa, sino como instrumentos estratégicos para moldear el entorno internacional a su favor.

Esta nueva dimensión del conflicto, basada en la manipulación de información, el acceso no autorizado a sistemas críticos y la desestabilización de actores clave, impone un reto sin precedentes a la comunidad internacional. A diferencia de los ataques tradicionales, los ciberataques son difíciles de atribuir con certeza, lo que complica las respuestas diplomáticas y militares. 

Además, los efectos de una campaña como la de Cold River no se limitan a daños técnicos: pueden influir en decisiones políticas, alterar procesos democráticos y socavar la confianza pública en instituciones clave. El espionaje digital, por tanto, no es solo una cuestión tecnológica, sino una amenaza integral que requiere ser abordada desde múltiples ángulos: legal, diplomático, militar y, sobre todo, cultural.

Cold River y herramientas como LOSTKEYS seguirán evolucionando mientras el conflicto entre potencias globales continúe intensificándose. Las organizaciones públicas y privadas que no se adapten a esta nueva realidad corren el riesgo de quedar vulnerables ante actores que no solo buscan robar datos, sino también interferir en su funcionamiento estratégico. 

La ciberseguridad ya no puede ser vista como una simple función técnica delegada a un departamento informático; debe convertirse en una prioridad transversal, integrada en todos los niveles de decisión. Solo una cultura de prevención, vigilancia constante y colaboración internacional permitirá a las naciones y a sus instituciones resistir las amenazas emergentes del espionaje digital contemporáneo.

Si deseas conocer más de ciberamenazas como LOSTKEYS y aprender a protegerte, escríbenos a [email protected]. Tenemos un equipo de expertos para asesorarte y brindarte las mejores soluciones de ciberseguridad a la medida de tus necesidades. 

¿Quieres AHORRAR?
¡Cámbiate con nosotros!

✔️Correo Corporativo M365. 50gb por usuario
✔️1 Tera espacio cloud por usuario.

Cotiza aquí

PUBLICACIONES RELACIONADAS

Mantente informado con ITD Consulting. Conocemos los últimos avances tecnológicos y tendencias para que tu compañía esté a la vanguardia.

Me gustaría Ver más
English Version
Contactanos
Facebook Instagram Linkedin
base de datos
middleware
sistemas operativos
servicios
es_ESES
en_USEN es_ESES

¿Quieres AHORRAR? ¡Cámbiate con nosotros!

🤩 🗣 ¡Cámbiate con nosotros y ahorra!

Si aún no trabajas con Microsoft 365, comienza o MIGRA desde Gsuite, Cpanel, otros, tendrás 50% descuento: 

✔️Correo Corporativo M365. 50gb por usuario.

✔️1 Tera espacio cloud por usuario. 

✔️Respaldo documentos. Ventajas: – Trabajar en colaboración Teams sobre el mismo archivo de Office Online en tiempo real y muchas otras ventajas.

¡Compártenos tus datos de contacto y nos comunicaremos contigo!