Occidente alerta sobre un salto cualitativo en el ciberespionaje chino: routers y electrodomésticos convertidos en armas

Una coalición de agencias de inteligencia de once países —incluyendo las cinco naciones del pacto Five Eyes y socios de Europa y Asia— emitió una alerta conjunta en la que describe un cambio sustancial en las tácticas de ciberespionaje chino. Según el aviso, Beijing infecta a gran escala dispositivos domésticos de uso corriente como routers y cámaras conectadas para lanzar desde ellos ataques contra infraestructuras críticas e instituciones políticas occidentales.

El ciudadano común no es el objetivo: sus aparatos son el disfraz. Al operar a través de miles de dispositivos anónimos diseminados por el mundo, los hackers chinos ocultan su rastro y dificultan que sus verdaderas víctimas puedan identificar el origen de las intrusiones.

El cambio de método no es menor. Durante años, los analistas occidentales situaron a China por detrás de Rusia en el escalafón de las amenazas cibernéticas avanzadas. Ese panorama está mutando con rapidez. Según reveló al Financial Times un funcionario europeo de inteligencia, lo que ahora se observa es un uso sofisticado de estos dispositivos para enmascarar intrusiones de alto nivel, algo cualitativamente distinto a los ataques de denegación de servicio —bloqueos masivos de sistemas— para los que históricamente se empleaban estas redes.

El mecanismo es técnicamente elegante en su perversidad. China ha comprometido decenas de miles de dispositivos cotidianos en todo el mundo aprovechando que particulares y empresas habitualmente no actualizan el software de sus aparatos tras adquirirlos. Una vez infectados, esos dispositivos quedan integrados en una botnet —una red de equipos bajo control remoto— que funciona como capa de anonimato: los ataques se lanzan desde IPs domésticas anónimas en lugar de desde servidores identificables, lo que dificulta enormemente que los equipos de defensa puedan aislar las fuentes de intrusión y atribuirlas con certeza.

El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) fue directo en su diagnóstico: “El uso de redes encubiertas de dispositivos comprometidos para facilitar actividad cibernética maliciosa no es nuevo, pero los actores cibernéticos vinculados a China ahora los utilizan de forma estratégica y a escala”, según el comunicado recogido por el Financial Times.

Tres unidades de operaciones cibernéticas chinas concentran la actividad descrita en el aviso conjunto: Volt Typhoon, Flax Typhoon y Violet Typhoon. Las dos primeras tienen vínculos documentados con el Ejército Popular de Liberación. La Agencia de Ciberseguridad e Infraestructuras de Estados Unidos (CISA), la NSA y el FBI han determinado que Volt Typhoon ha comprometido con éxito redes de organizaciones de infraestructura crítica en sectores de comunicaciones, energía, transporte y gestión de aguas. En algunos casos, el acceso persistió durante más de cinco años sin ser detectado.

Flax Typhoon, por su parte, ha desarrollado una red de botnets de escala considerable. En septiembre de 2024, el FBI desarticuló una botnet vinculada a este grupo que había comprometido más de 260.000 dispositivos en todo el mundo para atacar infraestructuras críticas de Estados Unidos y otros países. Según los organismos de inteligencia, la botnet habría estado operativa desde mediados de 2021, con víctimas detectadas en América del Norte y del Sur, Europa, África, el Sudeste Asiático y Australia. El Departamento del Tesoro de Estados Unidos sancionó posteriormente a la empresa de ciberseguridad Integrity Technology Group, con sede en Beijing, por su papel en las operaciones de Flax Typhoon.

La tercera unidad, Violet Typhoon, actúa bajo la órbita del Ministerio de Seguridad del Estado chino —la principal agencia de inteligencia exterior del país— y tiene como objetivo prioritario las instituciones políticas y gubernamentales de Europa y América del Norte. El servicio de contrainteligencia doméstica de Alemania, el BfV, señaló que el grupo lleva actuando contra instituciones políticas occidentales —ministerios, autoridades y fundaciones— desde finales de 2018, utilizando como vector de ataque dispositivos comprometidos ubicados en territorio alemán. La agencia alemana también vinculó a este grupo con una campaña que en 2021 se dirigió contra la Comisión Electoral del Reino Unido y contra diputados del Parlamento británico.

La advertencia llega con un trasfondo geopolítico que le otorga una dimensión adicional. El Pentágono y la comunidad de inteligencia estadounidense coinciden en que un objetivo central de estas intrusiones es dejar en una posición vulnerable los sistemas militares y civiles de Estados Unidos en caso de un conflicto por Taiwán. El informe anual del Departamento de Defensa al Congreso sobre China señaló que las campañas de ciberespionaje como Volt Typhoon buscan demostrar capacidades que permitan “perturbar al ejército estadounidense en un conflicto y dañar los intereses americanos”, y estima que el Ejército Popular de Liberación tiene como objetivo estar en condiciones de “lograr una victoria decisiva estratégica” sobre Taiwán antes de que finalice 2027.

El aviso conjunto fue emitido por agencias de Estados Unidos, Reino Unido, Australia, Canadá, Nueva Zelanda, Alemania, Países Bajos, España, Suecia y Japón. Su publicación coordina una señal diplomática clara: la preocupación por las operaciones cibernéticas chinas ya no es exclusivamente anglosajona, sino que se ha extendido a socios europeos y asiáticos que históricamente mantuvieron posturas más cautelosas frente a Beijing.

El momento en que se produce el aviso tampoco es casual. Un mes antes, el mismo grupo Five Eyes —la alianza de inteligencia que agrupa a Estados Unidos, Reino Unido, Australia, Canadá y Nueva Zelanda— ya había alertado sobre intentos rusos de comprometer routers domésticos. Pero los expertos consultados por el Financial Times distinguen entre ambas amenazas: el alcance de las operaciones chinas se considera significativamente más amplio y su orientación estratégica —presionar puntos neurálgicos de la infraestructura civil y militar occidental— más sistemática. La embajada china en Londres no respondió a las solicitudes de comentario.

Lo que el aviso deja en evidencia, más allá de los detalles técnicos, es la transformación estructural de los dispositivos cotidianos en vectores de conflicto geopolítico. La nevera conectada, el router sin actualizar, la cámara IP del pasillo: elementos que los usuarios domésticos y las pequeñas empresas tratan como electrodomésticos se han convertido en los eslabones más débiles de la cadena de seguridad occidental, y China los ha convertido en un activo estratégico.