XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON  Las tácticas que usan Rusia y China en sus operaciones de influencia: anatomía de una cibercampaña

Organizadas por el Centro Nacional de Inteligencia (CNI) a través del Centro Criptológico Nacional (CCN), las XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON, han dejado análisis en profundidad de las principales amenazas actuales en el ámbito de la ciberseguridad. Una de esas amenazas es la guerra digital, en la que Rusia y China despliegan intensas campañas de desinformación.

En el ámbito de las operaciones militares en el ciberespacio, la especialista María Porras efectuó la anatomía de una cibercampaña, centrada en las operaciones de influencia rusa y china. María Porras forma parte de Isdefe (Ingeniería de Sistemas para la Defensa de España), colaborando en el proyecto del Mando Conjunto del Ciberespacio (MCCE), donde desempeña funciones de análisis estratégico y apoyo a la ciberdefensa

La investigadora —experta en operaciones de influencia digital— expuso cómo Rusia y China han evolucionado desde la propaganda estatal y el control informativo interno hacia sofisticadas campañas cibernéticas capaces de manipular narrativas, desestabilizar sociedades y socavar la confianza pública en democracias occidentales.

Su exposición, basada en informes internacionales y casos recientes, analizó cómo ambos países han desarrollado estrategias de manipulación informativa cada vez más complejas, capaces de influir en audiencias masivas, tensionar fracturas sociales y erosionar la confianza en instituciones democráticas.

La ponente partió de un planteamiento básico: las campañas de influencia ya no se limitan a la propaganda tradicional, sino que combinan tácticas offline —como diplomacia pública o comunicación estratégica— con técnicas online de desinformación, ciberespionaje y ciberataques. Su objetivo no es solo imponer un relato favorable, sino desordenar el ecosistema informativo para que la población receptora no pueda diferenciar con claridad entre hechos y falsedades.

De la propaganda soviética a la desinformación viral

La analista situó el origen moderno de estas operaciones en la Guerra Fría, cuando la Unión Soviética desarrolló campañas conocidas como medidas activas. Uno de los ejemplos más estudiados fue la denominada Operation Patient Zero, una acción de los años ochenta que difundió la falsa narrativa de que Estados Unidos había creado el VIH. Aquella operación, explicó, sentó las bases de un modelo que combinaba espionaje, manipulación informativa y difusión de relatos antioccidentales.

Según la investigadora, tras la disolución de la URSS se produjo un giro estratégico. Rusia dejó de concentrarse en campañas globales contra Occidente y orientó sus esfuerzos hacia su entorno más próximo, especialmente en países como Georgia o Ucrania, donde buscaba mantener influencia política y social. Con la llegada de la era digital, ese enfoque regional se amplió. Las primeras intrusiones informáticas y los blogs afines al Kremlin evolucionaron hasta sofisticadas campañas coordinadas que explotaban redes sociales, cuentas automatizadas y medios afines.

En la actualidad, afirmó, Rusia es considerada un actor pionero en desinformación. Citó un informe de la organización VEC que identifica cinco pilares del sistema ruso: comunicaciones oficiales, amplificación en redes sociales, uso de proxies —organizaciones o individuos afines—, creación de ecosistemas digitales y retroalimentación entre plataformas. Una narrativa marginal difundida por un medio ruso puede convertirse, en apenas dos meses, en un ecosistema masivo que incluye cuentas automatizadas, nodos influyentes y medios digitales amplificando el mismo mensaje.

El paralelismo chino: control interno, expansión internacional y sofisticación

La ponente expuso que China ha seguido un recorrido similar, aunque con particularidades propias. En un primer momento, el régimen impulsó una intensa propaganda interna de corte maoísta, centrada en mantener una narrativa unificada favorable al Partido Comunista. Esa propaganda se difundía a través de medios tradicionales como cine, radio o redes comunitarias.

Posteriormente, coincidiendo con la apertura económica, Pekín orientó parte de su comunicación estratégica hacia la diplomacia internacional, especialmente en el sudeste asiático. El objetivo era proyectar la imagen de un país estable y atractivo para la inversión exterior. Con la expansión digital y el crecimiento económico, China extendió sus campañas a otras regiones, como África o América Latina, adaptando sus mensajes a los idiomas y códigos culturales locales.

La era actual se caracteriza, según la experta del Isdefe, por un salto cualitativo: China destaca por su capacidad en ciberespionaje, operaciones cibernéticas avanzadas y campañas de desinformación altamente coordinadas. También mencionó plataformas como Weibo o WeChat, que cuentan con un fuerte control gubernamental y funcionan como vehículos de difusión de narrativas alineadas con el Estado. Citó una encuesta de 2022 en la que el 75 % de los usuarios de esas plataformas afirmaba utilizarlas para informarse sobre actualidad, lo que convierte la influencia gubernamental en un elemento determinante.

La investigadora mostró además cómo China amplifica mensajes propagados previamente por Rusia. Un ejemplo: una noticia rusa que acusaba a la OTAN de debilitar la cohesión europea fue replicada dos meses después por medios chinos, sin atribución a la fuente original. Un mes más tarde, Rusia recuperó esa noticia citando a medios chinos, reforzando la credibilidad del mensaje ante su audiencia interna.

Las cinco fases de una cibercampaña

A continuación, se resumen las fases que componen una cibercampaña moderna, comunes tanto a Rusia como a China:

1. Reconocimiento y mapeo social.

La investigadora subrayó que esta es, para ella, la fase más importante. Consiste en identificar fracturas sociales —políticas, económicas, culturales— que puedan explotarse. La selección del público objetivo es clave para diseñar cualquier estrategia posterior.

2. Acceso inicial e infraestructuras.

Esta fase implica acciones técnicas como phishing, robo de credenciales o intrusiones para crear las infraestructuras desde donde se lanzará la campaña.

3. Creación y adaptación de la narrativa.

Aquí se determina el mensaje y el idioma. Como explicó, una campaña dirigida a Alemania no tendría impacto si se difundiera en ruso, por lo que se crean contenidos adaptados lingüística y culturalmente. Es habitual usar cuentas falsas o de un solo uso que publican y desaparecen.

4. Cibersubversión técnica.

Incluye alteración de datos, sabotaje informático y creación de redes de bots que amplifican mensajes.

5. Persistencia del efecto.

Aunque las cuentas de un solo uso son útiles, la investigadora señaló que los actores más eficaces mantienen medios digitales u otros canales durante meses o años para dar continuidad a la narrativa.

Para ilustrar estas fases, presentó el caso de la campaña rusa durante las elecciones estadounidenses de 2016. El proceso comenzó con la identificación de fracturas en la sociedad—por raza, inmigración o derechos LGTBI— y siguió con la creación de páginas y perfiles falsos que simulaban ser de ciudadanos estadounidenses. Las narrativas variaban de un día a otro para generar confusión. Paralelamente, se aplicó microtargeting mediante ajustes constantes del contenido, en función de la reacción de la audiencia. El objetivo no era tanto cambiar el voto, sino desestabilizar el entorno social mediante polémica y polarización. Según datos citados por la investigadora, en Alemania se crearon más de 50.000 cuentas vinculadas a campañas rusas, capaces de generar un millón de tuits en apenas un mes.

Doppelganger: la desinformación que imita a los medios reales

Entre las campañas recientes destacó Doppelganger, atribuida a Rusia y detectada en mayo de 2022. Su particularidad no era el volumen de contenidos, sino la técnica: los actores rusos crearon réplicas exactas de medios occidentales como The Washington Post, Le Parisien o Fox News. Copiaban su diseño, estilo editorial e incluso su tono habitual para publicar noticias falsas que favorecieran los intereses de Moscú.

Los mensajes difundidos incluían ideas como que los refugiados ucranianos eran una carga para Europa o que las sanciones occidentales no estaban afectando a Rusia. Para el público ruso, ver supuestos medios occidentales replicando estas ideas reforzaba la narrativa del Kremlin. Para la audiencia occidental, la confusión se multiplicaba, porque muchos usuarios no detectaban pequeñas variaciones en los dominios o cabeceras.

El impacto fue significativo. En noviembre de 2023, un análisis reveló que se habían publicado alrededor de 3,7 millones de artículos vinculados a estas réplicas. La investigadora subrayó un efecto secundario especialmente relevante: esos contenidos fueron indexados por modelos de inteligencia artificial que, al entrenarse con textos del Washington Post real y del falso, podían generar respuestas confusas o contradictorias, perpetuando la desinformación.

Spamouflage: la campaña silenciosa de China que llegó a España

El otro caso estudiado fue Spamouflage, una campaña atribuida a China caracterizada por su capacidad para mezclarse con contenidos cotidianos y pasar desapercibida. El nombre procede de la combinación de «spam» y «camouflage». Según la presentación, esta campaña utilizaba perfiles aparentemente normales —muchos creados con inteligencia artificial— que alternaban publicaciones anodinas con mensajes políticos favorables a China.

En su fase inicial, Spamouflage se observaba únicamente en chino, pero posteriormente se expandió a otros idiomas. La investigadora explicó que una de sus evoluciones más avanzadas consistió en adaptar expresiones coloquiales de cada región para aumentar la credibilidad.

La campaña alcanzó también España. En enero de 2025, tras las inundaciones de Valencia, la organización Graphika detectó un pico de actividad: múltiples cuentas comenzaron a publicar mensajes polarizantes sobre la respuesta del Gobierno español, incluso suplantando a ONG que trabajaban sobre el terreno. Desde esas cuentas falsas se difundieron mensajes que acusaban a las autoridades de no estar ayudando a la población afectada, con el objetivo de generar indignación y enfrentamiento social.

El espacio digital como campo estratégico

En sus conclusiones, María Porras afirmó que el espacio digital se ha convertido en un escenario estratégico clave donde se disputa la influencia, la información y la seguridad nacional. Defendió que esta competencia no se resuelve solo con capacidades técnicas, sino también con educación informativa, comunicación pública eficaz y políticas que refuercen la resiliencia social frente a campañas de desinformación.