El grupo de hackers chino Salt Typhoon sigue infiltrándose en las redes de telecomunicaciones de Estados Unidos y otros países, a pesar de las sanciones impuestas por las autoridades de EE. UU.
El grupo, cuyas actividades han afectado a los niveles más altos del gobierno estadounidense, intentó vulnerar más de 1000 dispositivos de red del gigante tecnológico Cisco, según un informe de la empresa de ciberseguridad Recorded Future del 13 de febrero.
Entre diciembre y enero, Salt Typhoon violó cinco redes de telecomunicaciones, incluyendo dos en Estados Unidos, y atacó a más de una docena de universidades que podrían proporcionar a Beijing valiosas investigaciones y propiedad intelectual, según los investigadores.
Entre las víctimas se encuentran una filial estadounidense de un proveedor de telecomunicaciones británico y un proveedor de servicios de Internet estadounidense, además de tres empresas de Sudáfrica, Italia y Tailandia. El Insikt Group de Recorded Future observó que siete dispositivos Cisco asociados a estas empresas mantenían comunicación con los hackers.
Los agentes estatales chinos, identificados por los investigadores con el nombre «RedMike», explotaron dos vulnerabilidades de código en la interfaz web de los dispositivos de red de Cisco. La primera les proporcionó acceso inicial, y la segunda les otorgó «privilegios de root», dándoles control total de la red de la víctima. Los hackers reconfiguraron los dispositivos para mantener un acceso permanente.
Recorded Future encontró más de 12,000 dispositivos de red Cisco vulnerables. Los ciberdelincuentes parecían tener como objetivo aproximadamente 1000 de ellos, vinculados a proveedores de telecomunicaciones, según los investigadores.
Entre ellos había 13 universidades, incluidas instituciones estadounidenses como la Universidad Loyola Marymount, la Universidad Tecnológica de Utah y la Universidad de California en Los Ángeles, según indica el informe.
Salt Typhoon es uno de varios grupos de hackers vinculados al Estado chino que han generado preocupación en Estados Unidos.
El grupo fue responsable de vulnerar y robar documentos de la Oficina de Control de Activos Extranjeros del Departamento del Tesoro, que supervisa las sanciones económicas y comerciales de Estados Unidos. También comprometió anteriormente al menos nueve importantes redes de telecomunicaciones estadounidenses, incluyendo Verizon, AT&T y CenturyLink. La operación tenía como objetivo las comunicaciones telefónicas de figuras políticas de alto nivel, entre ellas el presidente Donald Trump, el vicepresidente JD Vance y la campaña de la entonces vicepresidenta Kamala Harris antes de las elecciones presidenciales de 2024.
Las actividades maliciosas alarmaron a la comunidad de inteligencia estadounidense, lo que provocó que la Agencia de Ciberseguridad y Seguridad de Infraestructuras advirtiera a altos funcionarios del gobierno que abandonen los métodos de comunicación habituales y cifraran sus comunicaciones.
Las agencias estadounidenses, en las semanas posteriores al descubrimiento de la intrusión de Salt Typhoon, anunciaron contramedidas para proteger los datos estadounidenses.
En diciembre de 2024, el Departamento de Justicia calificó a China como país de preocupación por su tendencia a explotar masivamente datos personales y gubernamentales sensibles de EE. UU., y bloqueó a entidades consideradas como amenazas la transacción de ciertos datos que considera importantes para la seguridad nacional.
Tres semanas después, las autoridades sancionaron a un ciberatacante chino y a una empresa china de ciberseguridad por ayudar en los ataques de Salt Typhoon.
Consultada sobre el último informe sobre las actividades de Salt Typhoon, Cisco indicó que conoce las vulnerabilidades mencionadas en el informe.
«Hasta la fecha, no hemos podido validar estas afirmaciones, pero continuamos evaluando los datos disponibles», dijo un portavoz de la empresa a The Epoch Times. La empresa señaló que había emitido un aviso de seguridad en 2023 sobre las vulnerabilidades a los clientes, indicándoles que «aplicaran urgentemente la solución de software disponible».
«Recomendamos encarecidamente a los clientes que corrijan las vulnerabilidades conocidas que se han revelado y que sigan las mejores prácticas del sector para proteger los protocolos de gestión», añadió el portavoz.
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en España y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.