Hackers chinos vulneraron los sistemas de transporte y de agua de Estados Unidos durante al menos cinco años

Un grupo de piratas informáticos chinos que apunta a infraestructura crítica de Estados Unidos ha estado activos durante al menos cinco años, dijeron agencias de inteligencia estadounidenses y aliadas en un comunicado conjunto.

La Agencia de Seguridad Nacional de EEUU, el organismo estadounidense de vigilancia cibernética de CISA, el FBI y la Administración de Seguridad del Transporte dijeron que el grupo conocido como Volt Typhoon se había infiltrado silenciosamente en las redes de aviación, de los ferrocarriles, el transporte público, las carreteras, el transporte marítimo, las tuberías y las organizaciones de alcantarillado.

Ninguna de las organizaciones piratas fue identificada por su nombre por las autoridades norteamericanas, pero el comunicado sostiene que los funcionarios de inteligencia estadounidenses han observado a los piratas informáticos “manteniendo acceso y puntos de apoyo dentro de algunos entornos de sistemas durante al menos cinco años”.

La declaración, que fue firmada conjuntamente por las respectivas agencias de ciberseguridad de Gran Bretaña, Australia, Canadá y Nueva Zelanda, es la última de una serie de advertencias de funcionarios estadounidenses sobre Volt Typhoon, un grupo que ha generado especial alarma porque parece estar más orientado al sabotaje que al espionaje.

La naturaleza generalizada de los ataques ha llevado a una serie de reuniones entre la Casa Blanca y la industria tecnológica privada, incluidas varias empresas de telecomunicaciones y de transporte en la nube, en las que el gobierno de Estados Unidos pidió ayuda para rastrear la actividad.

La semana pasada, la agencia Reuters informó que el gobierno de Estados Unidos había lanzado una operación para luchar contra Volt Typhoon desactivando remotamente aspectos de su operación.

La administración Biden se ha centrado cada vez más en la piratería, no solo por temor a que los estados nacionales intenten perturbar las elecciones estadounidenses de noviembre, sino porque el ransomware causó estragos en las empresas estadounidenses en 2023.

Si bien la campaña de Volt Typhoon salió a la luz inicialmente en mayo de 2023, los piratas informáticos ampliaron el alcance de sus operaciones a fines del año pasado y cambiaron algunas de sus técnicas, según dijeron a Reuters tres personas familiarizadas con el asunto.

Tales violaciones podrían permitir a China, dijeron expertos en seguridad nacional, perturbar de forma remota instalaciones importantes en la región del Indo-Pacífico que de alguna forma apoyan o prestan servicios a las operaciones militares estadounidenses. Las fuentes dijeron que a los funcionarios estadounidenses les preocupa que los piratas informáticos estuvieran trabajando para perjudicar la preparación de Estados Unidos en caso de una invasión china de Taiwán.

China, que afirma que Taiwán es parte de su territorio, ha aumentado sus actividades militares cerca de la isla en los últimos años en respuesta a lo que Beijing llama “colusión” entre Taiwán y Estados Unidos.

El Ministerio de Asuntos Exteriores de China calificó las acusaciones de “infundadas” y “extremadamente irresponsables”, y afirmó que Estados Unidos era “el iniciador y maestro de los ciberataques”.

“Desde el año pasado, las agencias de seguridad de redes de China han emitido informes uno tras otro, revelando que el gobierno de Estados Unidos ha llevado a cabo ataques cibernéticos a la infraestructura clave de China durante mucho tiempo. Estas políticas y prácticas irresponsables ponen en gran riesgo la infraestructura crítica global”, dijo el jueves el portavoz del ministerio, Wang Wenbin, en una conferencia de prensa habitual.

Cuando las naciones occidentales advirtieron por primera vez sobre Volt Typhoon en mayo, el portavoz del Ministerio de Asuntos Exteriores chino, Mao Ning, dijo que las acusaciones de piratería informática eran una “campaña de desinformación colectiva”.

Volt Typhoon ha funcionado tomando el control de dispositivos digitales vulnerables en todo el mundo, como enrutadores, módems e incluso cámaras de seguridad conectadas a Internet, para ocultar ataques posteriores contra objetivos más sensibles, dijeron investigadores de seguridad a Reuters.

Esta constelación de sistemas controlados remotamente, conocida como botnet, es la principal preocupación para los funcionarios de seguridad porque limita la visibilidad de los ciberdefensores que monitorean las huellas extranjeras en sus redes informáticas.

“Lo que sucede es que los chinos toman el control de una cámara o módem que está ubicada geográficamente justo al lado de un puerto o ISP (proveedor de servicios de Internet) y luego usan ese destino para dirigir sus intrusiones al objetivo real”, dijo un ex funcionario familiarizado con el asunto. “Para el equipo de sistemas en el objetivo descendente, simplemente parece un usuario nativo normal que está sentado cerca”.

El uso de botnets por parte de gobiernos y piratas informáticos para blanquear sus operaciones cibernéticas no es nuevo. Este enfoque se utiliza a menudo cuando un atacante quiere apuntar rápidamente a numerosas víctimas simultáneamente o busca ocultar sus orígenes.

(Con información de Reuters)