Microsoft, CrowdStrike, Google y Palo Alto presentan la “Piedra Rosetta” del ciberespionaje: un glosario para descifrar los alias de los grupos APT

En un movimiento inusual de colaboración, Microsoft, CrowdStrike, Palo Alto Networks y Google han anunciado la creación de un glosario público para poner orden al caótico zoológico de alias con que la industria describe a los grupos de actores estatales y criminales. La iniciativa busca que, cuando un analista lea «Forest Blizzard» o «Fancy Bear», sepa inmediatamente a qué actor se refiere, sin perder tiempo en equivalencias.

¿Por qué tantos nombres y por qué importa?

Asignar la autoría de un ataque es difícil: las huellas técnicas pueden compartirse o falsificarse y los estados lo niegan todo. Para seguir la pista a un mismo adversario, cada empresa acuñó su propio sistema:

• CrowdStrike: animales + origen (p. ej. Cozy Bear para Rusia).
• Microsoft: antes elementos químicos, ahora fenómenos meteorológicos (Lemon Sandstorm).
• Mandiant: números APT (Advanced Persistent Threat), como APT1.

El resultado ha sido una sopa de letras: en un informe del Gobierno de EE. UU. sobre la injerencia rusa de 2016 aparecieron 48 alias distintos para apenas un puñado de grupos. Esa fragmentación complica la coordinación y retrasa la respuesta defensiva.

El glosario unificado

El proyecto pretende publicar tablas de equivalencia entre nombres y, con el tiempo, asignar un identificador único consensuado. La iniciativa ya ha producido su primer «match»: Salt Typhoon (Microsoft) Operator Panda (CrowdStrike). Sus impulsores confían en sumar a otras compañías y a organismos gubernamentales para acelerar la defensa colectiva. No faltan escépticos que recuerdan la tendencia del sector a guardar información como ventaja competitiva, pero el consenso es que un vocabulario común sería un avance necesario.

Más información:

• Forest Blizzard’ vs ‘Fancy Bear’: cyber companies hope to untangle weird hacker nicknames https://www.reuters.com/sustainability/boards-policy-regulation/forest-blizzard-vs-fancy-bear-cyber-companies-hope-untangle-weird-hacker-2025-06-02/
• How Microsoft names threat actors https://learn.microsoft.com/en-us/unified-secops-platform/microsoft-threat-actor-naming

La entrada Microsoft, CrowdStrike, Google y Palo Alto presentan la “Piedra Rosetta” del ciberespionaje: un glosario para descifrar los alias de los grupos APT se publicó primero en Una Al Día.