La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés), junto con agencias de inteligencia y ciberseguridad de más de 15 países —incluidos Reino Unido, Canadá, Japón, Australia, Alemania y España— ha publicado un informe conjunto en el que advierte sobre una operación de espionaje cibernético global orquestada por actores patrocinados por el Estado chino. El documento describe cómo estas campañas han comprometido redes de telecomunicaciones, transporte, gobiernos, sistemas militares y otros sectores críticos alrededor del mundo.
Ya en 2024, la propia CISA había anticipado parte de esta amenaza. En ese momento, se documentaron compromisos en las redes de empresas como AT&T, Verizon y Lumen, atribuidos a un grupo conocido como Salt Typhoon. El nuevo informe no solo confirma aquella sospecha, sino que detalla una operación sistemática y prolongada, con ramificaciones técnicas y geográficas más amplias.
El informe, titulado “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System”, identifica una campaña ejecutada por actores avanzados (APT, por sus siglas en inglés) que comprometen dispositivos de red clave —como routers backbone, de proveedor y de cliente— para mantener acceso persistente. Estos actores se infiltran no solo en sus objetivos primarios, sino también a través de conexiones de confianza entre proveedores y clientes para escalar lateralmente.
Los atacantes no han necesitado vulnerabilidades desconocidas. Han aprovechado fallas bien documentadas en dispositivos populares. Entre ellas se destacan cinco: CVE-2024-21887, CVE-2024-3400, CVE-2023-20273, CVE-2023-20198 y CVE-2018-0171, que afectan equipos de fabricantes como Cisco, Ivanti y Palo Alto Networks. A partir de ellas, los actores lograron crear cuentas administrativas no autorizadas, activar servicios como SSH o HTTP en puertos inusuales, y establecer túneles cifrados para extraer información.
Una vez dentro, los atacantes utilizaron funcionalidades nativas de los routers para capturar tráfico de red, incluyendo credenciales TACACS+, y modificaron configuraciones para redirigir la autenticación hacia servidores bajo su control. También desplegaron contenedores Linux como Guest Shell en routers Cisco, permitiendo procesar datos y ejecutar scripts sin ser detectados.
El informe incluye un caso específico en el que se utilizaron comandos como monitor capture en routers Cisco IOS XE para recolectar tráfico de autenticación. Los archivos “.pcap” resultantes se exportaban a través de FTP o TFTP, listos para su extracción. La finalidad era capturar credenciales privilegiadas que permitieran nuevos accesos y movimientos laterales dentro de las redes.
La estrategia de extración está diseñada para pasar desapercibida. Los actores utilizan canales redundantes y cifrados, ocultando los datos robados entre flujos de alto volumen en proxies o infraestructuras NAT. También manipulan registros, desactivan funciones de logeo y cambian rutas de red para evitar ser descubiertos. Esta capacidad de permanecer ocultos durante largos periodos ha sido una de las claves del éxito de la campaña.
El documento no se limita a la descripción técnica. Incluye también directrices claras para mitigación. como revisar configuraciones, actualizar firmware, deshabilitar servicios no necesarios, aplicar autenticación multifactor y limitar accesos desde redes de gestión. Además, insta a una vigilancia activa sobre túneles, contenedores, logs y rutas no autorizadas.
Este informe representa un esfuerzo coordinado sin precedentes entre agencias como la NSA, el FBI, el NCSC británico, el CSIS canadiense, el CNI español y sus pares de Japón, Alemania, Italia, Finlandia y Países Bajos, entre otros. La conclusión es inequívoca y estas intrusiones no son eventos aislados, sino parte de una estrategia estatal sostenida para obtener acceso encubierto a redes estratégicas en múltiples países.
La publicación de este informe no es un acto meramente informativo. Representa una señal de alerta geopolítica. Cuando tantas agencias de seguridad firman un documento conjunto como este, el mensaje no es solo técnico, es diplomático e indica, claramente, que se ha cruzado una línea roja. Se debe esperar que los operadores críticos —en especial del sector telecomunicaciones— actúen de inmediato para evaluar posibles compromisos, aplicar las mitigaciones sugeridas y colaborar con las autoridades.
El informe, por otro lado, también sirve como base para justificar nuevas políticas de ciberseguridad más estrictas en países aliados, desde leyes de notificación obligatoria hasta exclusión de proveedores considerados de “alto riesgo”.
Asimismo, este tipo de documentos permiten preparar el terreno para futuras sanciones económicas, restricciones comerciales, y operaciones de contrainteligencia. En un contexto en el que la ciberseguridad se ha convertido en una dimensión clave de la rivalidad estratégica entre potencias, estos informes funcionan como instrumentos de presión pública, disuasión y coordinación internacional.
Aunque el informe no menciona directamente a Huawei ni a otros fabricantes chinos, su publicación refuerza las sospechas históricas que han llevado a muchos países a restringir su participación en redes sensibles. Cuando se atribuyen campañas de espionaje a actores patrocinados por el Estado chino y se describen ataques que comprometen routers y enlaces de confianza entre operadores, el mensaje implícito es claro: confiar infraestructura crítica a proveedores bajo influencia de Pekín conlleva riesgos sistémicos.
Para Huawei, y otros proveedores chinos, este informe significa un golpe más a su intento de reposicionarse como proveedor neutral y confiable. Afecta su reputación en mercados emergentes, dificulta su elegibilidad en futuras licitaciones públicas, y puede acelerar la adopción de cláusulas de exclusión en nuevas normativas. Incluso en países donde todavía mantiene contratos activos, el documento puede generar presión política y regulatoria para acelerar la sustitución de equipos o aplicar auditorías más estrictas.
Este tipo de informes consolidan una tendencia geopolítica hacia la fragmentación tecnológica, donde se refuerza la separación entre los ecosistemas digitales liderados por China y aquellos alineados con Estados Unidos y sus aliados.
Por último, el nivel de coordinación entre agencias nacionales de ciberseguridad e inteligencia demuestra que las amenazas ya no pueden abordarse de forma aislada. Sin embargo, mientras los gobiernos estrechan filas, los operadores de telecomunicaciones —a menudo competidores entre sí, incluso dentro de un mismo país— siguen enfrentando estos desafíos de forma fragmentada.
El informe no lo dice, pero lo sugiere, si el espionaje opera a escala internacional, la defensa también debería hacerlo. Una colaboración más estrecha entre operadores, incluso entre rivales, podría marcar la diferencia entre detectar una intrusión a tiempo o permitir que se extienda sin control por años. Frente a campañas de largo plazo y con respaldo estatal, el aislamiento competitivo puede convertirse en una vulnerabilidad estratégica.
