Hackers chinos atacan a proveedores de Internet estadounidenses en un ciberataque silencioso

Por Mura en Seguridad informática

Traducir a:

Se ha abierto un nuevo y escalofriante capítulo en la ciberguerra, cuando piratas informáticos respaldados por China han vulnerado las defensas digitales de varios proveedores de servicios de Internet (ISP) de Estados Unidos. En una revelación alarmante, se ha puesto en marcha una campaña encubierta destinada a infiltrarse en infraestructuras críticas, y los expertos se apresuran a descubrir el alcance total de los daños.

Según un informe reciente de The Wall Street Journal , este ataque se atribuye a un sofisticado grupo de piratas informáticos rastreados por Microsoft bajo el nombre en código Salt Typhoon. También conocidos por sus alias, FamousSparrow y GhostEmperor, estos cibercriminales forman parte de una red más grande de actores de amenazas patrocinados por estados conectados con Beijing.

Tabla de contenido

El sabotaje silencioso a las cadenas estadounidenses

Lo que hace que esta operación cibernética sea particularmente aterradora es la magnitud de su ambición. Fuentes cercanas a la investigación sugieren que estos piratas informáticos pueden haber penetrado en los enrutadores centrales de Cisco Systems, dispositivos que controlan vastas franjas del tráfico de Internet en los EE. UU. No se trata de infracciones comunes. Obtener acceso a este nivel de infraestructura significa que, en teoría, podrían monitorear, redirigir o incluso paralizar las comunicaciones de Internet sin que nadie se dé cuenta de inmediato.

El objetivo principal de los piratas informáticos parece ser mantener el acceso a largo plazo, lo que les permite extraer datos confidenciales a voluntad o lanzar ciberataques devastadores en el futuro. Este tipo de operaciones son más que una simple violación de seguridad: son un sabotaje de combustión lenta, que se desarrolla silenciosamente en segundo plano y acecha.

El fantasma en la máquina - ¿Quién es GhostEmperor?

El grupo detrás de este desconcertante ataque, GhostEmperor, no es nuevo en la escena. De hecho, fue identificado por primera vez por la firma de ciberseguridad Kaspersky en 2021. En ese entonces, el grupo ya estaba ejecutando operaciones cibernéticas altamente evasivas en el sudeste asiático. Utilizando un rootkit sigiloso conocido como Demodex, habían estado infiltrándose en redes durante años antes de que se descubrieran sus actividades.

Entre sus primeras víctimas se encontraban países como Tailandia, Vietnam y Malasia, pero el alcance de GhostEmperor no se limitó a Asia. Sus objetivos se extendieron por todo el mundo, desde África hasta Oriente Medio, y también cayeron víctimas instituciones de Egipto, Etiopía y Afganistán. Cada ataque siguió un patrón familiar: una intrusión cuidadosa, seguida del establecimiento silencioso de un punto de apoyo en sistemas críticos.

Más recientemente, en julio de 2024, la empresa de ciberseguridad Sygnia reveló que uno de sus clientes había sido atacado por este grupo misterioso. Los piratas informáticos aprovecharon su acceso para penetrar no solo en la red de la empresa sino también en la de su socio comercial, utilizando varias herramientas para comunicarse con sus servidores de comando y control. Resulta inquietante que una de estas herramientas fuera identificada como una variante del rootkit Demodex, lo que demuestra la continua evolución del grupo en sus técnicas de piratería.

Un ataque a la infraestructura impulsado por los Estados nacionales

Esta violación de los servicios de Internet de Estados Unidos no es un incidente aislado. Es parte de una tendencia más amplia y profundamente inquietante de ataques patrocinados por el Estado chino a infraestructuras críticas. Apenas unos días antes de que este ataque saliera a la luz, el gobierno de Estados Unidos desmanteló una red de bots de 260.000 dispositivos conocida como "Raptor Train", otra arma cibernética desplegada por un grupo respaldado por Pekín, Flax Typhoon. Esta red de bots, capaz de provocar disrupciones cibernéticas generalizadas, es un recordatorio aleccionador de la escala de estas amenazas.

La participación del gobierno chino en estas campañas es una muestra de una estrategia a largo plazo destinada a desestabilizar a sus rivales y a reafirmar su control sobre redes globales clave. No se trata sólo de espiar datos clasificados o robar propiedad intelectual, sino de ganar la capacidad de controlar o interrumpir servicios esenciales, en caso de que cambien los vientos geopolíticos.

¿Qué está en juego?

Las implicaciones de estos ataques son absolutamente aterradoras. Al obtener acceso a los proveedores de servicios de Internet, los piratas informáticos pueden controlar grandes cantidades de tráfico y comunicaciones de Internet. Desde empresas hasta particulares, nadie es inmune a la posible recolección de datos. Aún más preocupante es pensar en lo que podría suceder si estos piratas informáticos deciden aprovechar su acceso para un propósito más destructivo. Imaginemos un escenario en el que millones de personas se quedan repentinamente sin acceso a Internet o, peor aún, sistemas críticos (bancos, hospitales o redes eléctricas) quedan fuera de servicio.

El peligro de estos ataques no siempre está en el momento inmediato, sino en un futuro desconocido. Estos piratas informáticos piensan a largo plazo y siembran hoy semillas que podrían convertirse en una catástrofe total mañana.

¿Cómo podemos detener esto?

Lo cierto es que no existe una solución milagrosa para detener los ciberataques patrocinados por los Estados. Sin embargo, los expertos coinciden en que la vigilancia es fundamental. Las empresas estadounidenses, en particular las que trabajan en infraestructuras críticas, deben redoblar sus esfuerzos en materia de ciberseguridad. Esto incluye:

Monitoreo riguroso de la red: el análisis en tiempo real del tráfico de la red puede ayudar a detectar actividad sospechosa de manera temprana, lo que limita el daño causado por las infracciones.

Enfoques de seguridad en capas: la implementación de defensas de varias capas puede ralentizar y complicar los esfuerzos incluso de los piratas informáticos más hábiles.

Actualizaciones periódicas del sistema: la infraestructura crítica, como enrutadores y servidores, debe actualizarse continuamente con los últimos parches de seguridad para cerrar posibles puntos de entrada.

Cooperación cibernética mundial: las naciones deben trabajar juntas para combatir estas amenazas cibernéticas cada vez más coordinadas. Compartir información y recursos podría ayudar a identificar y neutralizar las amenazas cibernéticas más rápidamente.

El escalofriante futuro de la guerra cibernética

A medida que las fronteras digitales se vuelven más porosas, la guerra cibernética continúa evolucionando hasta convertirse en un peligroso campo de batalla en el que nadie está realmente a salvo. Los grupos de piratas informáticos respaldados por China, como GhostEmperor, no solo atacan a agencias gubernamentales o instalaciones militares, sino que se infiltran en las redes de las que dependemos todos los días.

Lo más inquietante de todo es que lo hacen en silencio y, la mayoría de las veces, ni siquiera nos damos cuenta hasta que es demasiado tarde.

Ésta es la nueva realidad en la que vivimos: un mundo en el que Internet, que en su día fue una herramienta de conexión y progreso global, se ha convertido también en un terreno de juego para el espionaje, la disrupción y los juegos de poder. Mientras los actores patrocinados por el Estado siguen perfeccionando sus habilidades, debemos enfrentar la escalofriante posibilidad de que nuestro mundo digital ya no esté bajo nuestro control.

SpyHunter para Windows de EnigmaSoft ha obtenido la certificación AV-TEST

Buscar

Cambia región