El lunes 13 de julio, la Unión Europea y el Reino Unido activaron, por primera vez de manera conjunta, un paquete de sanciones contra la maquinaria cibernética rusa. Bruselas y Londres golpean la maquinaria cibernética rusa y la OTAN afirma que ya no es un problema de hackers sueltos, mostrando así la importancia del tema en el escenario internacional. Horas más tarde, el Consejo del Atlántico Norte sumó su propia condena formal. Tres golpes coordinados el mismo día. Eso, más que cualquier comunicado, es la señal real de que Occidente dejó de tratar los ciberataques rusos como incidentes sueltos. Además, empezó a nombrarlos como una campaña sostenida de guerra híbrida. Así lo definió sin rodeos la presidencia de Rumania horas después.

El apagón que Polonia esquivó por poco
Esta ronda fue un ataque de finales de diciembre contra la red energética polaca. Según el informe técnico de CERT Polska, la mañana y la tarde del 29 de diciembre de 2025, un actor lanzó ataques coordinados contra más de treinta parques eólicos y fotovoltaicos, una empresa manufacturera y una central de cogeneración que abastece de calefacción a casi medio millón de personas.
El objetivo era borrar archivos de sistema y dañar el firmware de los controladores. Además, buscaban deplegar software de borrado (wiper). Los parques renovables perdieron comunicación con el operador de la red. Sin embargo, la producción eléctrica no se detuvo. Polonia esquivó, por poco, un apagón en plena ola de frío.

Ese suceso quedó meses en zona gris de atribución técnica. CERT Polska apuntaba a un clúster ligado al FSB conocido como Static Tundra. En cambio, firmas como ESET y Dragos, con menor certeza, señalaban a Sandworm, unidad de la inteligencia militar rusa (GRU). El 13 de julio, Londres y Bruselas atribuyeron el ataque al Centro 16 del FSB, la rama de inteligencia de señales del servicio de seguridad ruso. Así, lo convirtieron en la pieza central del paquete de sanciones.
Nueve nombres en Bruselas, veinticuatro en Londres
La Unión Europea impuso restricciones a nueve personas y cuatro entidades. Las medidas son, sobre todo, congelamiento de activos y prohibiciones de viaje. El régimen de sanciones cibernéticas está vigente desde 2019 y ahora se amplía con la Decisión (PESC) 2026/1709 del Consejo. Dicha decisión fue publicada ese mismo día en el Diario Oficial. El Reino Unido fue más lejos. Sancionó a 24 individuos y entidades, la lista más amplia de su historia bajo este esquema. Entre los nombres británicos hay tres oficiales de alto rango del GRU: Viacheslav Stafeyev, Iván Senin e Iván Kasyanenko. Londres los señala como responsables de operaciones cibernéticas e híbridas. La lista también incluye a la unidad cibernética de la Unidad 29155 del GRU. Asimismo, menciona a la empresa IMPULS, acusada de reclutar hackers en universidades rusas.
Londres, por su parte, sancionó a los operadores de Lumma Stealer, un programa que roba contraseñas y datos guardados en dispositivos infectados. Según la Agencia Nacional contra el Crimen británica, solo en los últimos seis meses hubo al menos 2.100 víctimas en el Reino Unido. Además, el gobierno sostiene que Rusia reutilizó esas credenciales robadas en operaciones de espionaje propias. La tercera pata es Rybar LLC, un medio financiado por el Estado ruso al que Londres responsabiliza de difundir narrativas falsas sobre Ucrania. También lo acusa de interferir en elecciones en Moldavia y Armenia.
La jefa de la diplomacia europea, Kaja Kallas, resumió el paquete en X: dijo que la UE está “sancionando a Rusia a velocidad y escala” y lo calificó como el mayor conjunto de sanciones individuales desde la invasión de 2022. Además, lo llamó el mayor paquete cibernético jamás adoptado por el bloque. Según Bruselas, la red golpeada operó durante años contra Francia, Alemania, Polonia, Chipre, Países Bajos, Austria, Eslovaquia, Rumania y Finlandia, entre otros países.
La OTAN pone el sello político
Horas después de las sanciones, el Consejo del Atlántico Norte publicó su declaración de condena, donde habla de una amenaza a la seguridad de los aliados. Además, expresa solidaridad con los países afectados y exige a Rusia detener actividades que violan las normas internacionales acordadas para el comportamiento responsable en el ciberespacio. Ucrania, sin ser miembro de la Alianza, se sumó a la declaración. Fue un gesto que su misión ante la OTAN definió como un golpe triple y simultáneo de sanciones británicas, europeas y condena política.

No es la primera vez que la Alianza recurre a este lenguaje. En julio de 2025, el mismo Consejo emitió una declaración casi idéntica tras la atribución, por parte de Estonia, Francia, Reino Unido y Estados Unidos, de ataques del GRU contra varios aliados. La diferencia, un año después, es que ahora la condena llegó pegada a sanciones simultáneas de dos potencias. Además, la respuesta occidental se está institucionalizando en vez de repetirse caso por caso.
La cadena de embajadores convocados
El golpe diplomático se sintió en capitales fuera de Bruselas y Londres. Francia anunció que convocará a su embajador ruso; su canciller, Jean-Noël Barrot, dijo en BFM TV que las operaciones rusas buscaban capturar información o sabotear infraestructura. Citó el caso de los ferrocarriles polacos.
Francia documentó blancos rusos desde 2014 en sistemas ministeriales. Además, informa sobre el hackeo a su embajada en Moscú en 2018 y el robo de datos a un instituto de investigación de defensa en febrero pasado. Responsabilizó a uno de los grupos sancionados de intentos de desestabilizar los Juegos Olímpicos de París 2024.
Alemania también convocó a su embajador ruso. Países Bajos hizo lo mismo, pero por un motivo más inquietante: sus servicios de inteligencia AIVD y MIVD detectaron que actores rusos habían comprometido cámaras de seguridad instaladas en rutas usadas para transportar material militar hacia Ucrania. Obteniendo acceso remoto de visualización. Rumania, por su parte, emitió un comunicado presidencial responsabilizando al mismo Centro 16 y al grupo APT Turla por ataques contra sus propias instituciones.
¿Por qué esto ya no es un caso policial?
El mismo lunes, agencias de ciberseguridad de doce países, entre ellas la NSA, el FBI, la CISA estadounidense y el NCSC británico, publicaron un aviso técnico conjunto sobre las tácticas del Centro 16. Escaneos masivos de routers mal configurados, contraseñas SNMP por defecto y explotación de fallos conocidos en equipos Cisco para infiltrarse en redes de energía, telecomunicaciones, defensa, finanzas, gobierno y salud. La receta no exige vulnerabilidades sofisticadas: explota higiene básica de red descuidada durante años, según detalla el aviso del NCSC.
Es justamente esa mezcla de espionaje militar, empresas privadas, criminales comunes y desinformación electoral operando bajo el mismo paraguas, la que Bruselas y Londres describen como el “ecosistema” que buscan desmantelar. Ya no se trata de perseguir a un hacker aislado por robar contraseñas. Ahora, se trata de un aparato que combina inteligencia militar, sabotaje de infraestructura civil e interferencia electoral coordinados desde un mismo centro de mando. Esa lógica explica por qué la respuesta no salió de un tribunal ni de una agencia policial. Por el contrario, fue fruto de una reunión de cancilleres en Bruselas y de una declaración del máximo órgano político de la OTAN el mismo día.
El Kremlin, niega todo. Vladimir Putin dijo el mes pasado que las acusaciones europeas de sabotaje y ciberataques carecen de fundamento y buscan justificar los planes agresivos que Occidente tiene contra Rusia. Bruselas, mientras tanto, ya trabaja en un vigésimo primer paquete de sanciones más amplio. Además, el propio Consejo de Asuntos Exteriores ya fijó la próxima cita para seguir ajustando el cerco.
Te puede interesar: Reino Unido cambia su despliegue en Estonia: menos concentración de tanques y más drones contra Rusia













