
La secreta alianza de cinco países ha desarticulado un grupo de piratas informáticos apoyado por China, de una forma inusualmente pública.
Esta semana, la alianza Five Eyes (Cinco Ojos, el pacto de inteligencia entre Australia, Reino Unido, Canadá, Nueva Zelanda y Estados Unidos) anunció su investigación sobre una amenaza de origen chino dirigida contra infraestructuras estadounidenses.
PUBLICIDAD
Utilizando técnicas de ocultación, el atacante -denominado “Volt Typhoon”- explotó los recursos existentes en las redes comprometidas, en una técnica denominada “vivir de la tierra”.
Microsoft hizo un anuncio simultáneo, afirmando que el hecho de que los atacantes apuntaran a Guam era revelador de los planes de China de interrumpir potencialmente las infraestructuras críticas de comunicaciones entre Estados Unidos y la región asiática en el futuro.
PUBLICIDAD
Este ataque se produce poco después de la noticia, en abril, de un ataque norcoreano a la cadena de suministro del proveedor de telecomunicaciones de Asia-Pacífico 3CX. En este caso, los piratas informáticos accedieron al ordenador de un empleado utilizando una aplicación de escritorio para Windows y un paquete de instalación de software firmado comprometidos.

El anuncio de Volt Typhoon ha llevado a la Agencia de Seguridad Nacional de Estados Unidos a admitir que Australia y otros socios de los Five Eyes participan en un plan de búsqueda y detección selectiva para descubrir las operaciones cibernéticas clandestinas de China.
PUBLICIDAD
Este tipo de declaraciones públicas por parte de la alianza de los Five Eyes son escasas y poco frecuentes. Sin embargo, detrás de la cortina, esta red está persistentemente comprometida en tratar de derribar adversarios extranjeros. Y no es tarea fácil.
Echemos un vistazo a los acontecimientos que condujeron a Volt Typhoon y, más en general, a cómo opera esta secreta alianza transnacional.
Descubriendo Volt Typhoon
Volt Typhoon es un “grupo de amenazas persistentes avanzadas” que lleva activo al menos desde mediados de 2021. Se cree que está patrocinado por el gobierno chino y tiene como objetivo organizaciones de infraestructuras críticas en Estados Unidos.
PUBLICIDAD
El grupo ha centrado gran parte de sus esfuerzos en Guam. Situado en el Pacífico occidental, este territorio insular de EEUU alberga una importante y creciente presencia militar estadounidense, que incluye la fuerza aérea, un contingente de marines y submarinos con capacidad nuclear.
Es probable que los atacantes del Volt Typhoon pretendieran acceder a redes conectadas a infraestructuras críticas estadounidenses para interrumpir las comunicaciones y los sistemas de mando y control, y mantener una presencia persistente en las redes. Esta última táctica permitiría a Beijing influir en las operaciones durante un posible conflicto en el Mar de China Meridional.
PUBLICIDAD
Australia no se vio directamente afectada por Volt Typhoon, según declaraciones oficiales. No obstante, sería uno de los principales objetivos de operaciones similares en caso de conflicto.
No se ha revelado cómo fue capturado Volt Typhoon. Pero los documentos de Microsoft destacan observaciones previas del actor de la amenaza intentando volcar credenciales y datos robados de la organización víctima. Es probable que esto condujera al descubrimiento de redes y dispositivos comprometidos.
PUBLICIDAD

Vivir fuera de la red
Los hackers accedieron inicialmente a las redes a través de dispositivos Fortinet FortiGuard orientados a Internet, como los routers. Una vez dentro, emplearon una técnica denominada “vivir fuera de la red”.
Esto es cuando los atacantes se basan en el uso de los recursos ya contenidos en el sistema explotado, en lugar de traer herramientas externas. Por ejemplo, suelen utilizar aplicaciones como PowerShell (un programa de gestión de Microsoft) y Windows Management Instrumentation para acceder a datos y funciones de red.
PUBLICIDAD
Al utilizar recursos internos, los atacantes pueden eludir las protecciones que alertan a las organizaciones de accesos no autorizados a sus redes. Como no utilizan software malicioso, parecen usuarios legítimos. Como tal, vivir fuera de la red permite el movimiento lateral dentro de la red y ofrece la oportunidad de un ataque persistente a largo plazo.
Los anuncios simultáneos de los socios de los Five Eyes apuntan a la gravedad del compromiso de Volt Typhoon. Es probable que sirva de advertencia a otras naciones de la región Asia-Pacífico.
PUBLICIDAD
Quiénes son los Five Eyes
Formada en 1955, la alianza de los Five Eyes es una asociación de intercambio de inteligencia integrada por Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos.
La alianza se formó tras la Segunda Guerra Mundial para contrarrestar la posible influencia de la Unión Soviética. Se centra específicamente en la inteligencia de señales. Se trata de interceptar y analizar señales como las comunicaciones por radio, satélite e Internet.
Los miembros comparten información y acceso a sus respectivas agencias de inteligencia de señales, y colaboran para recopilar y analizar enormes cantidades de datos de comunicaciones globales. Una operación de los Five Eyes también puede incluir inteligencia proporcionada por países no miembros y por el sector privado.
Recientemente, los países miembros han expresado su preocupación por el control militar de facto que ejerce China sobre el Mar de China Meridional, su supresión de la democracia en Hong Kong y sus amenazas contra Taiwán. El último anuncio público de las operaciones cibernéticas de China sin duda sirve como una advertencia de que las naciones occidentales están prestando estricta atención a su infraestructura crítica - y pueden responder a la agresión digital de China.
En 2019, Australia fue blanco de actores de amenazas respaldados por el Estado chino que obtuvieron acceso no autorizado a la red informática de la Casa del Parlamento. De hecho, hay pruebas de que China está comprometida en un esfuerzo concertado para atacar las redes públicas y privadas de Australia.
La alianza de los Five Eyes bien puede ser uno de los únicos elementos de disuasión contra los ataques persistentes a largo plazo contra infraestructuras críticas.
*Artículo publicado originalmente por The Conversation- Dennis B. Desmond es Profesor de la Universidad de Sunshine Coast e Investigador sobre Ciberinteligencia y Ciberdelincuencia.
Seguir leyendo:
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Estados Unidos e Irán se enfrentaron en el Consejo de Seguridad por los ataques en el Golfo: “La paciencia de Trump no es ilimitada”
La discusión giró en torno a los recientes ataques del régimen de Teherán contra Bahréin, Kuwait y embarcaciones comerciales que navegan por el estrecho de Ormuz
Un ataque en Damasco dejó nueve muertos y 22 heridos
Este incidente desató el pánico entre quienes se encontraban en el lugar, tanto dentro como fuera del establecimiento

Dos muertos y siete heridos tras un nuevo ataque de Israel en el sur de Gaza
El bombardeo sobre Mawasi —designada por Israel como zona humanitaria— suma más de mil muertos desde la entrada en vigor del alto el fuego de octubre de 2025


