La reciente revelación de una vulnerabilidad crítica en sistemas de Microsoft vuelve a encender las alertas sobre la fragilidad de la infraestructura digital gubernamental, especialmente cuando existen indicios de que pudo haber sido aprovechada por APT28, también identificado como Fancy Bear, Pawn Storm o Forest Blizzard, informó Víctor Ruiz, fundador de SILIKN.

Este colectivo, vinculado a la inteligencia militar rusa (GRU), opera desde al menos 2007 y ha construido un historial de operaciones de ciberespionaje dirigidas contra gobiernos, fuerzas armadas y sectores estratégicos. Su sello distintivo: campañas altamente dirigidas que combinan malware sofisticado, robo de credenciales y explotación de vulnerabilidades de día cero para extraer información sensible.

De acuerdo con el experto, la falla en cuestión, catalogada como crítica con una puntuación CVSS de 8.8, impacta el marco MSHTML, el motor de renderizado heredado que aún utilizan componentes como Internet Explorer y diversas aplicaciones que lo integran. Aunque se trata de una tecnología considerada obsoleta en muchos entornos, continúa presente en múltiples sistemas corporativos y gubernamentales, lo que amplifica el riesgo.

Para Microsoft, el problema radica en un defecto en el mecanismo de protección del MSHTML Framework que permite a un atacante remoto eludir controles de seguridad. La compañía corrigió el fallo durante su actualización de seguridad de febrero de 2026 (Patch Tuesday). Sin embargo, como ocurre con frecuencia, la existencia del parche no equivale a protección inmediata: cada organización debe implementarlo oportunamente para cerrar la puerta a posibles intrusiones.

El aspecto más preocupante es que la vulnerabilidad fue explotada activamente como día cero antes de que el correctivo estuviera disponible. La mecánica del ataque no requiere técnicas especialmente complejas, sino algo mucho más común y efectivo: ingeniería social. Mediante campañas de phishing —un fenómeno que en México registra un crecimiento sostenido y alarmante— los atacantes pueden inducir a una víctima a abrir un archivo HTML malicioso o un acceso directo (.LNK) distribuido por correo electrónico o enlaces engañosos.

Al ejecutarse el archivo, se manipula la forma en que el sistema gestiona el navegador y el shell de Windows, permitiendo evadir las barreras de seguridad y ejecutar código fuera de las protecciones habituales. Investigaciones técnicas detectaron muestras que contenían accesos directos especialmente diseñados que incorporaban código HTML malicioso y establecían comunicación con dominios vinculados a APT28.

Aunque en esta campaña específica se utilizaron archivos LNK como vector inicial, el riesgo no se limita a ese formato. Cualquier aplicación que integre el motor MSHTML podría activar la ruta vulnerable, lo que abre la posibilidad de que se empleen otros mecanismos de distribución para comprometer sistemas.

“Si bien no existen reportes recientes que confirmen intrusiones directas de APT28 en dependencias del gobierno mexicano, el escenario no debe minimizarse. Las brechas explotadas por actores sofisticados suelen dejar aprendizajes y herramientas que terminan siendo reutilizadas por otros grupos criminales. En el caso de México, organizaciones de ransomware extranjeras como Qilin, Tengu o LockBit, así como colectivos locales, han mostrado interés reiterado en infraestructuras públicas”, dijo Víctor Ruiz.

El panorama es especialmente delicado considerando que se han identificado alrededor de 820 dependencias gubernamentales mexicanas potencialmente expuestas a esta vulnerabilidad. Entre las instituciones señaladas se encuentran el Tribunal Electoral del Poder Judicial de la Federación, el Gobierno del Estado de Yucatán, el Instituto Mexicano del Seguro Social, el Gobierno del Estado de Tabasco, la Comisión Nacional del Agua, el Instituto del Fondo Nacional de la Vivienda para los Trabajadores, el Instituto Nacional del Derecho de Autor y el Congreso del Estado de Jalisco, entre otras.

“La magnitud del riesgo exige una respuesta inmediata. Más allá de la atribución geopolítica, la verdadera amenaza radica en la lentitud institucional para aplicar actualizaciones críticas y en la persistencia de tecnologías heredadas que continúan operando en entornos sensibles. En un contexto donde la ciberdelincuencia evoluciona con rapidez y donde las campañas de phishing se multiplican, la omisión puede convertirse en la puerta de entrada para incidentes de alto impacto. La instalación urgente de los parches de seguridad no es una recomendación técnica más: es una medida indispensable para contener un riesgo que ya demostró ser explotable en el mundo real”, concluyó el directivo de SILIKN.