Unos ciberatacantes chinos habrían protagonizado una gravísima intrusión de seguridad en Estados Unidos. La información nos llega desde The Wall Street Journal, que señala que un grupo conocido como Salt Typhoon ha logrado infiltrarse en las redes de varios proveedores de telecomunicaciones del país norteamericano. Se habla, además, de un acceso “potencial” a información del sistema de escuchas telefónicas utilizado por las agencias de seguridad.
Al momento de publicar este artículo no hay declaraciones oficiales sobre el supuesto incidente, aunque múltiples fuentes han proporcionado información al mencionado periódico bajo condición de anonimato. Explican que la intrusión fue descubierta en las últimas semanas y que todavía se encuentra en plena investigación por parte del Gobierno y de analistas de seguridad de las compañías involucradas, entre las que se encuentran Verizon, AT&T y Lumen.
Si se confirma, estaremos ante un ataque de magnitud histórica
Las personas con conocimiento del tema indicaron que los atacantes podrían haber tenido a la infraestructura de red de los proveedores de telecomunicaciones durante meses o más. Esto ha hecho saltar las alarmas en Washington, donde temen por un aumento del riesgo de la seguridad nacional. Es que una intrusión de estas características por atacantes estado-nación no pasa desapercibido porque afecta la raíz de algo tan importante como las comunicaciones.
Por si esto fuera poco, como decimos, existe la posibilidad de que Salt Typhoon haya tenido acceso a información confidencial sobre las escuchas telefónicas llevadas a cabo por las agencias de seguridad estadounidenses. Parte de la información comprometida sería, precisamente, las órdenes judiciales que permiten, por ejemplo, al FBI, interceptar llamadas telefónicas en ciertos tipos de investigaciones contempladas en la legislación actual.
Si bien las fuentes señalan que todavía se está trabajando para comprender la magnitud del ataque, hay indicios de que los atacantes han recopilado una enorme cantidad de tráfico de internet de proveedores de servicios. Punto a destacar es que estos proveedores, a su vez, tienen como clientes a empresas tanto grandes como pequeñas, así como a millones de clientes. También se menciona que la campaña se extendió de manera limitada a otros países.
Este supuesto incidente de seguridad, calificado como “catastrófico” por algunos dentro del gobier, deja muchas preguntas sin responder. Desde luego que una de ellas es cuál habría sido el talón de Aquiles que habría permitido semejante problema de seguridad. Por lo pronto se está trabajando para saber si los atacantes vulneraron parte de la infraestructura de red de Cisco, una pieza clave de las compañías de telecomunicaciones afectadas.
Cory Doctorow, periodista y activista digital, no ha dudado en apuntar contra Communications Assistance for Law Enforcement Act (CALEA), una ley proveniente de la administración de Bill Clinton que obligó a los operadores a modificar sus sistemas para permitir que las agencias de seguridad pudieran interceptar tráfico para sus investigaciones. Doctorow señala que la CALEA acabó perjudicando la seguridad de la infraestructura.
Esta no es la primera vez que vemos a Salt Typhoon en escena. Se trata de un grupo que ha estado activo desde 2020 y que ha llevado a cabo varios ataques. El grupo de ciberseguridad de Microsoft lo ha definido como un grupo “estado-nación” vinculado a China, es decir, actores que actúan en beneficio de sus patrocinadores. Por lo general, este tipo de atacantes tiene como objetivo agencias gubernamentales y empresas de infraestructura crítica.
Imágenes | AMIRALI NASIRI | iStrfry, Marcus | engin akyurt
En Xataka | LockBit era el grupo de ransomware más peligroso del mundo. Su proveedor ha sido detenido en Madrid
Ver 18 comentarios