Alerta global de ciberseguridad: actores vinculados a China comprometen redes en todo el mundo

Estos actores han estado atacando redes críticas a nivel mundial desde al menos 2021, incluyendo infraestructura de telecomunicaciones, gubernamental, transporte, alojamiento y militar.

El objetivo principal de estos ataques es alimentar un extenso sistema de espionaje global, lo que podría permitir a los servicios de inteligencia chinos identificar y rastrear las comunicaciones y movimientos de sus objetivos en todo el mundo.

Los ciberatacantes, a quienes las agencias autoras se refieren genéricamente como “actores de Amenazas Persistentes Avanzadas (APT)”, se han concentrado en routers troncales de grandes proveedores de telecomunicaciones, así como en routers de borde de proveedor (PE) y de cliente (CE).

Sin embargo, también explotan dispositivos comprometidos y conexiones de confianza para infiltrarse en otras redes. Una táctica clave es la modificación de routers para mantener un acceso persistente y a largo plazo.

La actividad de estos actores APT se superpone con la reportada por la industria de la ciberseguridad bajo nombres como Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 y GhostEmperor.

Las operaciones han sido vinculadas a varias entidades con sede en China, incluidas Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. y Sichuan Zhixin Ruijie Network Technology Co., Ltd., las cuales proporcionan productos y servicios relacionados con la ciberseguridad a los servicios de inteligencia de China, como el Ejército Popular de Liberación y el Ministerio de Seguridad del Estado.

Este informe es el resultado de una colaboración entre numerosas agencias de seguridad y ciberseguridad a nivel mundial. Entre los participantes se encuentran la NSA, CISA y FBI de EE. UU., el ACSC de Australia, el Cyber Centre de Canadá, el NCSC del Reino Unido, la NÚKIB de República Checa, la SUPO de Finlandia, la BND y BfV de Alemania, la AISE y AISI de Italia, la NCO y la NPA de Japón, los servicios de inteligencia de Países Bajos y Polonia, y el CNI de España.

Las agencias autoras instan a las organizaciones de infraestructura crítica y telecomunicaciones a aplicar mitigaciones inmediatas. Algunas recomendaciones clave incluyen:

• Priorizar parches: aplicar parches a las CVEs conocidas y explotadas.

• Revisar registros y configuraciones en busca de actividades no autorizadas.

• Gestión de cambios robusta con auditorías periódicas.

• Endurecimiento de protocolos de gestión: aislamiento de servicios, uso exclusivo de SSHv2, HTTPS y SNMPv3, eliminación de credenciales predeterminadas, autenticación con clave pública.

• Registros detallados e inmutables en servidores centralizados.

• Mitigación del abuso de guest shell y monitoreo constante.

• Protección de rutas de enrutamiento y validación de políticas.

Qué dijo China sobre el informe

Guo Jiakun, vocero del Ministerio de Relaciones Exteriores de China, declaró al diario ABC:

“China siempre se opone y combate las actividades de piratería informática conforme a la ley. Se opone firmemente a difundir desinformación con fines políticos. China deplora y se opone a que Estados Unidos difame a China con el pretexto de la ciberseguridad.”

Además, señaló que el programa “PRISM” revelado por Edward Snowden demostró que EE. UU. es el mayor “imperio del hacking” y del espionaje del mundo. Incluso los aliados de EE. UU. fueron víctimas de su vigilancia, y acusó a Washington de hipocresía por presentarse como víctima.

Guo también afirmó que el incidente ocurrió porque la “puerta trasera” abierta por el servicio de inteligencia estadounidense para espiar a sus propios ciudadanos fue explotada por hackers. Denunció que esta práctica forma parte de las “mejores prácticas” de la alianza “Five Eyes” y concluyó: “¿Quién es el mayor imperio del hacking? La comunidad internacional conoce perfectamente la respuesta.”

Informe completo: ic3.gov/CSA/2025/250827.pdf