Los Estados Unidos, junto con algunos de sus aliados, aseguran que China ha hecho ciberataques a través de operaciones silenciosas y persistentes que convierten a las redes de telecomunicaciones en herramientas de espionaje global.
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés), junto con agencias de inteligencia y ciberseguridad de más de 15 países (incluidos Reino Unido, Canadá, Japón, Australia, Alemania y España) ha publicado un informe conjunto en el que advierte sobre una operación de espionaje cibernético global orquestada por actores patrocinados por el Estado chino.
El documento describe cómo estas campañas han comprometido redes de telecomunicaciones, transporte, gobiernos, sistemas militares y otros sectores críticos alrededor del mundo.
El informe, el cual ha sido titulado como “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System”, identifica una campaña ejecutada por actores avanzados (APT, por sus siglas en inglés) que comprometen dispositivos de red clave como routers backbone, de proveedor y de cliente para mantener acceso persistente. Estos actores se infiltran no solo en sus objetivos primarios, sino también a través de conexiones de confianza entre proveedores y clientes para escalar lateralmente.
Los atacantes no han necesitado vulnerabilidades desconocidas. Han aprovechado fallas bien documentadas en dispositivos populares. Entre ellas se destacan cinco: CVE-2024-21887, CVE-2024-3400, CVE-2023-20273, CVE-2023-20198 y CVE-2018-0171, que afectan equipos de fabricantes como Cisco, Ivanti y Palo Alto Networks.
A partir de ellas, los actores lograron crear cuentas administrativas no autorizadas, activar servicios como SSH o HTTP en puertos inusuales, y establecer túneles cifrados para extraer información.
El informe incluye un caso específico en el que se utilizaron comandos como monitor capture en routers Cisco IOS XE para recolectar tráfico de autenticación. Los archivos “.pcap” resultantes se exportaban a través de FTP o TFTP, listos para su extracción. La finalidad era capturar credenciales privilegiadas que permitieran nuevos accesos y movimientos laterales dentro de las redes.
El documento no se limita a la descripción técnica. Incluye también directrices claras para mitigación. como revisar configuraciones, actualizar firmware, deshabilitar servicios no necesarios, aplicar autenticación multifactor y limitar accesos desde redes de gestión. Además, insta a una vigilancia activa sobre túneles, contenedores, logs y rutas no autorizadas.
Este informe representa un esfuerzo coordinado sin precedentes entre agencias como la NSA, el FBI, el NCSC británico, el CSIS canadiense, el CNI español y sus pares de Japón, Alemania, Italia, Finlandia y Países Bajos, entre otros.
La advertencia es clara y alerta a toda la región
La conclusión es inequívoca y estas intrusiones no son eventos aislados, sino parte de una estrategia estatal sostenida para obtener acceso encubierto a redes estratégicas en múltiples países.
El informe, por otro lado, también sirve como base para justificar nuevas políticas de ciberseguridad más estrictas en países aliados, desde leyes de notificación obligatoria hasta exclusión de proveedores considerados de “alto riesgo”.
Asimismo, este tipo de documentos permiten preparar el terreno para futuras sanciones económicas, restricciones comerciales, y operaciones de contrainteligencia. En un contexto en el que la ciberseguridad se ha convertido en una dimensión clave de la rivalidad estratégica entre potencias, estos informes funcionan como instrumentos de presión pública, disuasión y coordinación internacional liderada por Estados Unidos.
