El Departamento del Tesoro de Estados Unidos confirmó que piratas informáticos chinos lograron acceder de forma remota a varias estaciones de trabajo y documentos no clasificados tras comprometer a un proveedor de servicios de software externo, informó la agencia el lunes.
Detalles del ataque y respuesta del Tesoro
En una carta dirigida a legisladores, el departamento indicó que, aunque no se especificó el número exacto de estaciones de trabajo comprometidas ni el tipo de documentos accedidos, “no hay evidencia que indique que los hackers sigan teniendo acceso a la información del Tesoro”. La violación está siendo investigada como un “incidente significativo de ciberseguridad”.
Un portavoz del Tesoro subrayó que la agencia “se toma muy en serio todas las amenazas” y destacó los esfuerzos realizados en los últimos cuatro años para reforzar su ciberdefensa. También afirmó que la agencia continuará trabajando con socios públicos y privados para proteger el sistema financiero estadounidense de amenazas cibernéticas.
Conexión con la campaña de ciberespionaje Salt Typhoon
Este incidente ocurre en medio de las secuelas de una masiva campaña de ciberespionaje china conocida como Salt Typhoon, que permitió a los hackers acceder a mensajes de texto y conversaciones telefónicas de un número aún indeterminado de estadounidenses. Según un alto funcionario de la Casa Blanca, al menos nueve empresas de telecomunicaciones también han sido afectadas por este ataque.
Cómo ocurrió el ataque
El Departamento del Tesoro fue informado del incidente el pasado 8 de diciembre, cuando BeyondTrust, el proveedor de software comprometido, alertó que los hackers habían robado una clave utilizada para anular medidas de seguridad y obtener acceso remoto a estaciones de trabajo de empleados del Tesoro.
El sistema comprometido ya ha sido desconectado, según Aditi Hardikar, secretaria adjunta del Tesoro, quien también señaló que no hay evidencia de que los hackers aún tengan acceso.
Investigación y atribución del ataque
El Tesoro está colaborando con el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) para investigar el alcance del ataque, que ha sido atribuido a actores patrocinados por el estado chino. Sin embargo, no se han revelado más detalles sobre los responsables o las intenciones detrás del ciberataque.
Recientemente, el FBI solicitó a las empresas de telecomunicaciones que refuercen la seguridad tras una amplia campaña de piratería informática china.
El tema de los hackers chinos y su actividad contra sistemas de Estados Unidos ha sido un asunto delicado en la geopolítica y ciberseguridad durante años. Se han reportado numerosos incidentes de ataques cibernéticos vinculados a grupos que operan desde China, a menudo con acusaciones de estar respaldados o al menos tolerados por el gobierno chino. Estos ataques suelen estar motivados por el espionaje industrial, político y militar, así como por el robo de propiedad intelectual.
Ámbitos comunes de ataque:
- Infraestructura crítica: Hackers chinos han intentado infiltrarse en redes eléctricas, sistemas de agua y otras infraestructuras clave.
- Empresas tecnológicas: Robo de propiedad intelectual de compañías estadounidenses para avanzar en tecnología propia.
- Agencias gubernamentales: Espionaje contra el Pentágono, el Departamento de Estado, y otras instituciones clave.
- Sector financiero: Robos de datos financieros y explotación de sistemas bancarios.
- Investigación y desarrollo: Universidades e institutos de investigación han sido objetivos frecuentes, especialmente en áreas sensibles como la biotecnología, la inteligencia artificial y la ciberseguridad.
Modus operandi
- Phishing avanzado: Uso de correos electrónicos falsificados que parecen legítimos para obtener credenciales de acceso.
- Exploits de día cero: Vulnerabilidades en software que aún no han sido parcheadas.
- Malware sofisticado: Programas maliciosos diseñados para operar sin ser detectados durante largos períodos.
- Backdoors: Creación de puertas traseras en sistemas para mantener el acceso incluso después de que se descubra el ataque inicial.
Ejemplos notables:
- APT41: Un grupo de hackers conocido por combinar actividades de espionaje estatal con ataques motivados financieramente.
- Operación Cloud Hopper: Un ataque masivo contra proveedores de servicios en la nube para acceder a los datos de clientes.
- Robo de datos de OPM (Oficina de Gestión de Personal): En 2015, hackers chinos robaron información personal de más de 21 millones de empleados del gobierno de EE.UU.
Respuesta de EE.UU.
Estados Unidos ha fortalecido sus defensas cibernéticas a través de la colaboración entre agencias como el FBI, el CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad), y el NSA. También ha impuesto sanciones económicas y acusado formalmente a hackers específicos.
Perspectiva internacional
Aunque China ha negado consistentemente estas acusaciones, calificándolas como infundadas, la tensión entre ambas naciones en el ciberespacio sigue siendo alta. Este tipo de confrontaciones digitales refleja la creciente importancia de la ciberseguridad en las relaciones internacionales.
