Desde 2019 un equipo de piratas informáticos vinculados a China ha rastreado a más de 100 espías de la CIA que operan en unos 20 países del mundo. Las interrupciones de las redes móviles en Estados Unidos, que afectaron a Verizon y T-Mobile, están relacionadas con esta operación.
Durante años el equipo chino de ciberespionaje Salt Typhoon ejecutó ataques de alto perfil contra infraestructuras de telecomunicaciones, gubernamentales, militares y otras infraestructuras críticas en más de 80 países. Estados Unidos lo ha calificado como una crisis de seguridad nacional (*).
El grupo ha penetrado en cientos de importantes proveedores de telecomunicaciones, aprovechando las vulnerabilidades de los enrutadores para obtener acceso persistente a la red y extraer datos, como registros de llamadas telefónicas, mensajes de texto e incluso grabaciones de audio de altos dirigentes del gobierno estadounidense, personal de campaña y funcionarios de seguridad y militares, incluyendo los del FBI, la CIA, la NSA y la DIA.
Los piratas chinos rastrearon a unos 100 agentes de la CIA en todo el mundo, las 24 horas del día, los 7 días de la semana, durante más de cinco años consecutivos. También descifró ciertos códigos utilizados en los sistemas de correo electrónico internos de los jefes de estación de la CIA ubicados en las principales embajadas estadounidenses en el extranjero.
Los ataques chinos se dirigieron a sistemas de “interceptación legal”, exponiendo datos de solicitudes de escuchas telefónicas relacionadas con la vigilancia policial, en particular dentro de la principal infraestructura de banda ancha de Estados Unidos y los proveedores de acceso a la red.
El equipo también comprometió las redes de infraestructura militar, de transporte y de la Guardia Nacional, así como archivos de configuración críticos de instituciones públicas.
En 2022 los piratas comenzaron a infiltrarse en los principales proveedores de telecomunicaciones estadounidenses, explotando vulnerabilidades y protocolos de identificación débiles. Las brechas permanecieron sin detectar durante dos años. A lo largo de 2023, Salt Typhoon mantuvo un acceso persistente y sigiloso, recopilando registros de detalles de llamadas, metadatos de texto e interceptando potencialmente comunicaciones no cifradas de millones de usuarios en Estados Unidos, Canadá y Europa.
En septiembre del año pasado aparecieron las primeras informaciones sobre ciberataques que comprometieron los sistemas de telecomunicaciones estadounidenses. Washington confirmó que probablemente la campaña llevaba más de un año en funcionamiento. Las investigaciones iniciales vincularon a varios países afectados en Europa y la región del Indopacífico.
Al mes siguiente Estados Unidos, el mayor ciberespía del mundo y dueño de internet, confirmó que Salt Typhoon había penetrado en nueve importantes empresas de telecomunicaciones, entre ellas Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications y Windstream, y que se dirigía específicamente a los enrutadores y sistemas de proveedores de servicios de internet utilizados para escuchas telefónicas legales.
Los piratas obtuvieron acceso a metadatos confidenciales (registros de llamadas, información de mensajes de texto, direcciones IP) y, en algunos casos, a grabaciones de audio de altos dirigentes del gobierno estadounidense.
En abril de este año el FBI anunció una recompensa de 10 millones de dólares por información sobre miembros del grupo Salt Typhoon. Se hizo un llamamiento a la colaboración mundial para prevenir este tipo de ataques. La campaña de Salt Typhoon se considera la brecha de seguridad de telecomunicaciones más grave en la historia de Estados Unidos.
En algunos ataques, los piratas usaron credenciales de administración capturadas, en lugar de recurrir a ataques de “día cero” (**), obteniendo acceso inicial y moviéndose luego a través de las redes mediante enrutadores y conmutadores.
Los archivos de configuración de los dispositivos de red fueron pirateados para revelar información de identificación adicional, en particular cadenas de comunidad SNMP.
Aplicaciones informáticas, como JumbledPath, han permitido la captura de paquetes de datos secretos de entornos de telecomunicaciones comprometidos. Sin embargo, una de las mayores hazañas de los piratas no se ha hecho pública: la intrusión en los sistemas de mensajería interna de la CIA y el seguimiento de un centenar de espías, mapeando sus movimientos y analizando estas interacciones y su impacto en los cambios estratégicos a escala regional y mundial. El seguimiento ha tenido efectos concretos en ciertos teatros de operaciones como Ucrania, la República Democrática del Congo y Oriente Medio.
(*) https://www.forbes.com/sites/emilsayegh/2025/08/30/us-and-allies-declare-salt-typhoon-hack-a-national-defense-crisis/
(**) Los ataques informáticos de “día cero” explotan vulnerabilidades desconocidas para el proveedor antes de que detecte la intrusión. El término “día cero” se refiere a que el ataque se produce desde que el pirata descubre el agujero de seguridad.
Descubre más desde mpr21
Suscríbete y recibe las últimas entradas en tu correo electrónico.