China se consolida como la gran superpotencia del ciberespionaje

Las actividades de ciberespionaje desarrolladas por grupos de hackers relacionados con China aument¨® un 150% el a?o pasado, un 300% si nos fijamos en industrias como el sector financiero, los medios de comunicaci¨®n o la ingenier¨ªa. Solo en 2024 se detectaron siete nuevos grupos organizados de hackers sin lazos oficiales con el gobierno chino, pero supuestamente apoyados por Pek¨ªn. Esta es una de las conclusiones del informe anual de ciberamenazas (Global Threat Report) que publica este jueves CrowdStrike, una firma de ciberseguridad estadounidense con un potente observatorio de este tipo de equipos de ciberdelincuentes, conocidos en el sector como amenazas persistentes avanzadas (APT en sus siglas inglesas).

Dirigidas y patrocinadas extraoficialmente por gobiernos, las APT se encuentran en la c¨²spide de la pir¨¢mide de los hackers. Se trata de grupos muy bien estructurados y jerarquizados, que a menudo cuentan con departamentos o subgrupos especializados y que disponen de profesionales de primer nivel con roles muy definidos. Lo que marca la diferencia en estos equipos es que, a diferencia de otras bandas criminales, tienen abundantes recursos econ¨®micos y disponibilidad de medios e infraestructuras estatales, lo que les permite elaborar ataques complejos, coordinados y veloces. Sobre el papel, solo los servicios secretos de las grandes potencias cibern¨¦ticas (EE UU, Rusia, China o Israel) tienen m¨¢s poder que las APT. Pero estas ¨²ltimas no tienen bandera, as¨ª que son la opci¨®n preferida de aquellos gobiernos que quieren sabotear, espiar o llevar a cabo acciones de inteligencia sin provocar incidentes diplom¨¢ticos.

De las siete nuevas APT chinas detectadas por CrowdStrike, cinco son consideradas ¡°¨²nicas por su especializaci¨®n y sofisticaci¨®n¡±. Tres de ellas son especialistas en atacar redes de telecomunicaciones, otra se centra en el sector de servicios financieros a nivel mundial y una quinta en seguridad operacional (OPSEC en la jerga), el proceso que trata de evitar que se filtre informaci¨®n confidencial. Una de ellas, por ejemplo, fue capaz de infiltrarse en diciembre del a?o pasado en los sistemas del Departamento del Tesoro de EE UU que los funcionarios calificaron como ¡°incidente grave¡±.

Con estos siete nuevos grupos, China cuenta ya con 13 APT identificadas por CrowdStrike, que le sigue la pista a 83 de todo el mundo (Rusia, con siete, es el segundo pa¨ªs que m¨¢s aporta a esa lista). Entre los trabajos pasados m¨¢s sonados de las APT chinas est¨¢ la obtenci¨®n durante 2020 y 2021 de informaci¨®n clave para desarrollar la vacuna de la covid. En 2020, por ejemplo, el CNI alert¨® de que hackers chinos hab¨ªan robado informaci¨®n sobre la vacuna espa?ola.

2024 fue un punto de inflexi¨®n en t¨¦rminos de capacidades alcanzadas y de labores de inteligencia realizadas, destaca el informe. El aumento del 150% en la actividad de las APT chinas supuso que operaron en todas las regiones y sectores del mundo, aumentando la escala de los ataques respecto a 2023. De los siete nuevos grupos vinculados a China, el laboratorio estadounidense ha detectado focos de actividad en Taiw¨¢n e Indonesia, donde han recopilado informaci¨®n sobre tecnolog¨ªa y telecomunicaciones, y en Hong Kong, donde se ha seguido la actividad de activistas a favor de la democracia. ?frica y Oriente Medio han ganado inter¨¦s, especialmente para obtener inteligencia en el campo diplom¨¢tico.

Los analistas de CrowdStrike, mundialmente famosa por haber propiciado el verano pasado una ca¨ªda global de los sistemas de aquellos de sus clientes que tambi¨¦n usaban Windows, ven una triple motivaci¨®n en el esfuerzo chino en ampliar su actividad en el ciberespacio. Por un lado, la recolecci¨®n de inteligencia sobre entidades pol¨ªticas y militares extranjeras; por otro, aumentar la influencia de China en su entorno cercano, lo que incluye su intenci¨®n de lograr la eventual reunificaci¨®n de Taiw¨¢n. Y en tercer lugar, seguir de cerca a los practicantes de Falun Gong, activistas chinos a favor de la democracia, separatistas uigures, separatistas tibetanos y separatistas taiwaneses, colectivos a los que el Partido Comunista Chino (PCCh) se refiere como ¡°las Cinco Pestes¡±. ¡°Estas operaciones probablemente cumplen con los requisitos generales de inteligencia dentro de los planes estrat¨¦gicos del PCCh¡±, subraya el informe.

La posici¨®n actual de China es el fruto de a?os de preparaci¨®n. ¡°El llamamiento del Secretario General Xi Jinping en 2014 para que China se convierta en una potencia cibern¨¦tica y la gran estrategia del PCCh de rejuvenecimiento nacional han acelerado la sofisticaci¨®n de las capacidades cibern¨¦ticas de China durante el primer cuarto del siglo XXI¡±, puntualiza el reporte de CrowdStrike. La inversi¨®n del PCCh en programas cibern¨¦ticos incluyen, entre otros, el desarrollo de sistemas universitarios dirigidos a formar ¡°una fuerza laboral cibern¨¦tica altamente capacitada y disponible¡±, la firma de contratos con el sector privado que proporcionan ¡°apoyo especializado e infraestructura¡± a las unidades cibern¨¦ticas del Ej¨¦rcito Popular de Liberaci¨®n (EPL) y la celebraci¨®n de programas de descubrimiento de vulnerabilidades, caza de errores y competiciones nacionales que fomentan el talento cibern¨¦tico chino.

¡°La aparici¨®n de grupos con t¨¢cticas, metodolog¨ªas y objetivos ¨²nicos representa un cambio continuo en las intrusiones vinculadas a China, pasando de las llamadas operaciones de ¡®golpe y fuga¡¯ a intrusiones cada vez m¨¢s enfocadas y con misiones espec¨ªficas¡±, describe el informe. El uso de la inteligencia artificial (IA) generativa se ha generalizado, contribuyendo a sofisticar los ganchos con los que los hackers logran obtener credenciales ¨²tiles para llegar hasta su objetivo.

Corea del Sur, el alumno aventajado

Si China, igual que Rusia, Ir¨¢n y otros pa¨ªses, usa a sus grupos de hackers para obtener informaci¨®n militar, secretos industriales y otra inteligencia, sus vecinos de Corea del Norte se han especializado en explotar el ciberespacio como una fuente de ingresos en s¨ª misma. El Amado y Respetado L¨ªder (una de las formas oficiales de referirse a Kim Jong-un) lo ve como una v¨ªa leg¨ªtima para sobrevivir a las duras sanciones internacionales a las que est¨¢ sometido el r¨¦gimen.

Las APT norcoreanas, conocidas por el nombre clave Lazarus, protagonizaron la semana pasada el mayor golpe de la historia: lograron sustraer 1.500 millones de d¨®lares a la plataforma de criptomonedas ByBit. Es el mayor ataque de este tipo del que se tiene constancia. El que ostentaba ese r¨¦cord hasta ahora tambi¨¦n era obra suya: en 2022 se hicieron con un monedero de etherum, una de las criptomonedas m¨¢s usadas despu¨¦s del bitcoin, por valor de 625 millones de d¨®lares.

Adem¨¢s de esta l¨ªnea de ataques, Pyongyang sigue cultivando otra que le est¨¢ dando buenos resultados: la infiltraci¨®n de trabajadores norcoreanos en grandes multinacionales, principalmente tecnol¨®gicas y bancos. Los agentes pasan procesos leg¨ªtimos de contrataci¨®n hasta ser contratados en la empresa objetivo. Se postulan para puestos de desarrolladores que impliquen teletrabajo puro, usando credenciales falsas para evitar que asome su pasaporte norcoreano. Una vez dentro de la empresa, se dedican a filtrar informaci¨®n de inter¨¦s. De este modo, Corea del Norte ha logrado colocar a miles de compatriotas en puestos clave de empresas estadounidenses, tal y como denunci¨® el a?o pasado el Departamento de Justicia de EE UU.