Perun Swaroga: Grupo Vinculado a Rusia Filtra Base de la Cámara Municipal de Bila Tserkva y Reabre el Frente Cibernético Contra Ucrania

Más Un Capítulo de Una Ciberguerra Casi Invisible

Mientras la atención del mundo se concentra en titulares militares convencionales, otra guerra sigue siendo librada en paralelo — menos visible, pero no menos estratégica. El 14 de abril de 2026, la VECERT Analyzer detectó y reportó otro capítulo de este conflicto paralelo: una filtración de datos de la Cámara Municipal de Bila Tserkva (Белая Церковь, en ruso, o Bila Tserkva, en ucraniano) — ciudad de aproximadamente 200.000 habitantes en la región metropolitana de Kyiv.

La atribución apunta al grupo Perun Swaroga, que publicó la filtración a través de canales vinculados al ecosistema de hacktivistas y operadores pro-Rusia. El caso, individualmente modesto, ilustra un patrón mayor: la erosión sistemática de infraestructura digital ucraniana de bajo y medio escalón por actores alineados con el Kremlin.

El Objetivo: Por Qué Bila Tserkva

Bila Tserkva no es un objetivo obvio en términos militares o estratégicos — ese es exactamente el punto. Las ciudades medianas son atacadas justamente porque:

• Sus defensas cibernéticas son significativamente menores que las de ministerios nacionales o Kyiv
• Procesan datos sensibles de cientos de miles de ciudadanos (registros, impuestos, servicios municipales)
• Las filtraciones causan daño difuso pero real a la moral y capacidad administrativa local
• La exposición de datos personales genera objetivos secundarios — los ciudadanos comienzan a recibir phishing, extorsión, intentos de SIM swap

El patrón de ataques a Bila Tserkva, Mykolaiv, Odessa, Sumy y otras ciudades ucranianas documentados a lo largo de 2024-2026 muestra una campaña sistemática de degradación, no ataques oportunistas.

Perun Swaroga: Lo Que Se Sabe

El Nombre

"Perun" es el dios del rayo y la guerra en la mitología eslava precristiana — figura central en panteones ucraniano, ruso, polaco y bielorruso. "Swaroga" (o Svarog) es otra divinidad eslava, asociada al fuego celeste y la forja. El nombre del grupo es una apropiación retórica de elementos culturales panes-lavos — estrategia común entre grupos nacionalistas que buscan legitimidad histórica.

Modus Operandi

Los análisis preliminares cruzando datos de la VECERT y reportes públicos de otras firmas (Mandiant, Check Point) sugieren:

• Enfoque en objetivos ucranianos de mediano y bajo porte (cámaras municipales, universidades, empresas regionales)
• Vectores de entrada típicos: spear phishing, exploits en software desactualizado, credenciales comprometidas
• Publicación de bases filtradas en canales Telegram del ecosistema pro-Rusia
• Narrativa pública enmarcando acciones como "reacción a la guerra" — barniz hacktivista
• Indicadores técnicos compartidos con otros grupos conocidos (Killnet, NoName057, XakNet)

Atribución Estatal

Grupos como Perun Swaroga operan en una zona deliberadamente ambigua. No son formalmente parte de los servicios de inteligencia rusos (FSB, GRU, SVR), pero:

• Operan con conocimiento y tolerancia del Estado ruso
• Frecuentemente coordinan con operaciones estatales para maximizar impacto
• Reciben infraestructura (servidores, VPNs, anonimato bancario)
• Actúan como negación plausible — el Estado ruso niega participación, pero las acciones avanzan la agenda estatal

Este modelo es una evolución de lo que los analistas llaman "hacktivismo patriótico" — hacktivismo con barniz patriótico y apoyo tácito estatal — usado por Rusia desde al menos 2014.

Lo Que Fue Filtrado

La VECERT confirmó la publicación de la base, pero no detalló exhaustivamente el contenido. Los patrones de filtraciones municipales similares sugieren:

• Datos de funcionarios públicos de la cámara (nombres, cargos, contactos, historial)
• Registros de ciudadanos que interactuaron con servicios municipales
• Comunicaciones internas (emails, actas, documentos)
• Configuraciones de sistemas que pueden facilitar ataques secundarios
• Potencialmente información de infraestructura sensible (contratos de TI, proveedores)

El daño real es doble: inmediato para ciudadanos cuyos datos son expuestos, y estructural para la administración municipal que necesita pasar meses en contención, comunicación y reconstrucción de confianza.

La Conexión Con Cripto

Para una audiencia enfocada en criptoactivos, la pregunta natural es: ¿dónde entra el cripto en esta historia? Existen múltiples capas:

1. Lavado de Recursos Vinculados a la Guerra

Grupos como Perun Swaroga y congéneres (Killnet, NoName057, Conti históricamente) frecuentemente usan cripto para:

• Recibir donaciones de simpatizantes en jurisdicciones con límites bancarios
• Monetizar ransomware (cuando está presente en el repertorio)
• Mover fondos a operadores en jurisdicciones difíciles (Rusia, Bielorrusia, Transnistria)

Chainalysis y TRM Labs rastrea direcciones asociadas — muchas ya están sancionadas por OFAC americano.

2. Ransomware Dirigido

Algunos de los datos expuestos en "filtraciones" como la de Bila Tserkva sirven como materia prima para ataques de ransomware subsecuentes: las credenciales filtradas permiten infiltración, y la negociación de rescate ocurre casi invariablemente en Monero, Bitcoin o Ethereum. Hay casos documentados de ciudades ucranianas pagando en cripto para recuperar sistemas críticos.

3. Infraestructura Sancionada

Las carteras vinculadas a grupos como Perun Swaroga frecuentemente terminan en listas SDN de OFAC. Los usuarios cripto de buena fe que interactúan (vía mixers, vía DEXs, vía P2P) con fondos originados en estas actividades pueden tener activos congelados. Herramientas como Chainalysis KYT, TRM Labs Wallet Screening y Elliptic Navigator se vuelven esenciales en OTC y exchanges.

4. El Uso Cripto Por Ucrania

Del otro lado, Ucrania fue pionera en aceptar donaciones en cripto para la resistencia — con más de US$ 200 millones recaudados desde 2022 en BTC, ETH, USDT y otros. El cripto se convirtió en herramienta legítima de resistencia, utilizada para comprar suministros, pagar voluntarios, financiar equipamiento.

La ironía es evidente: el mismo carril tecnológico (blockchain público) sirve a la resistencia ucraniana y a los grupos que la atacan. La neutralidad técnica es solo una cara de la realidad; quién usa la herramienta define el propósito.

El Patrón Más Amplio: Ciberguerra Como Política de Estado

El Manual Ruso

Rusia desarrolló, a lo largo de 15 años, un manual bien establecido de operaciones cibernéticas:

• Ataques a infraestructura civil (energía, telecomunicaciones, salud, administración)
• Desinformación vía redes sociales
• Filtraciones estratégicas de datos para erosionar confianza en instituciones
• "Hacktivismo patriótico" como capa plausible deniable
• Ransomware como arma económica contra objetivos estratégicos

La Respuesta Occidental

OFAC sancionó docenas de grupos y direcciones cripto vinculadas. CISA (Agencia de Seguridad Cibernética e Infraestructura) americana comparte IOCs con aliados. NATO expandió el mandato cibernético. Pero el ritmo sigue siendo reactivo, no preventivo.

Ucrania Como Laboratorio

En términos prácticos, Ucrania se convirtió en el laboratorio más avanzado del mundo para defensa cibernética en tiempo real. Las lecciones aprendidas allí informan prácticas defensivas globales: segmentación de red, zero-trust, resiliencia vía distribución, aislamiento estratégico.

El Papel de las Plataformas de Threat Intel

Casos como Bila Tserkva refuerzan la importancia de plataformas como VECERT Analyzer. Sin monitoreo continuo de canales privados de Telegram, BreachForums y ecosistemas afines, estas filtraciones pasarían completamente desapercibidas hasta que el daño secundario (phishing, ransomware, scams) se materializara.

Para gobiernos locales en países bajo presión cibernética, la suscripción a servicios de threat intel se está convirtiendo en línea base operacional — equivalente a lo que el antivirus corporativo era hace 20 años.

Implicaciones Para Usuarios Comunes

Si Tiene Vínculo Con Ucrania / Rusia

• Asuma que sus datos personales pueden aparecer en bases filtradas
• Monitoree servicios como HaveIBeenPwned y equivalentes
• Refuerce 2FA con hardware keys en servicios críticos
• Evite la reutilización de contraseñas entre servicios

Si Opera En Cripto

• Si usa OTC, exija reportes KYT sobre origen de fondos
• Monitoree sanciones OFAC actualizadas antes de operaciones P2P grandes
• Use exchanges con compliance robusto para reducir riesgo de recibir fondos rastreados
• Atención a "ofertas demasiado buenas" en foros de Europa del Este — frecuente origen son fondos de ransomware

Si Observa Cripto Globalmente

• Entienda que el cripto es técnicamente neutral pero políticamente operacionalmente complejo
• Siga análisis de Chainalysis, TRM Labs, Elliptic para entender flujos
• Acompañe listas SDN para ver qué direcciones están sancionadas
• No romantice ni demonice — el cripto es herramienta, utilizada por todos los lados

Conclusión: El Frente Invisible También Es Decisivo

La guerra Rusia-Ucrania es el conflicto más complejo del siglo XXI — militar, económico, informacional, cibernético. Casos como la filtración de Bila Tserkva, aparentemente pequeños, se suman en una campaña de desgaste que afecta la capacidad del Estado ucraniano de funcionar en niveles locales. Es baja intensidad, pero es sistemática.

Para el ecosistema cripto, existe un papel a desempeñar — y una responsabilidad. Las herramientas de rastreo, compliance y análisis on-chain proporcionan transparencia que los canales tradicionales no pueden conseguir. Cuanto más robusto sea el monitoreo, más difícil será monetizar ciberataques vía cripto. Cuanto más alineados estén exchanges y bancos con threat intel actualizado, menor será la ganancia operacional de los agresores.

El trabajo de la VECERT y congéneres es solo parte de este ecosistema. Pero es parte esencial. Y cada alerta — por pequeña que parezca en el radar público — contribuye a dibujar el mapa completo de un conflicto que, por mucho tiempo aún, continuará siendo librado simultáneamente en tierra, aire, mar, espacio y, cada vez más, en blockchains.

Fuente principal: alerta de VECERT Analyzer publicada el 14 de abril de 2026. Datos contextualizados con reportes públicos de Chainalysis, TRM Labs, Elliptic, Mandiant y Check Point.

Aviso: Este contenido es informativo y tiene fines educativos. No constituye recomendación de inversión ni posicionamiento político. ON3X acompaña eventos geopolíticos por su relevancia al ecosistema cripto e inteligencia de amenazas globalmente.