La máquinaria de ciberguerra del Partido Comunista Chino al descubierto

Durante muchos años, el Gobierno estadounidense y numerosos expertos han considerado a China la mayor amenaza en el ciberespacio.

El Partido Comunista Chino (PCCh) utiliza una extensa red de grupos de piratas informáticos para recopilar inteligencia y propiedad intelectual, y para comprometer sistemas críticos, como parte de una estrategia de guerra híbrida destinada a derrotar a Estados Unidos sin necesariamente entrar en una guerra cinética, según los expertos.

Las empresas de ciberseguridad han identificado casi 200 grupos de hackers vinculados a China, la mayoría de ellos clasificados como amenazas persistentes avanzadas (advanced persistent threats, APT). Algunos operan dentro del Ejército Popular de Liberación (el ejército del PCCh); otros dependen del Ministerio de Seguridad del Estado, principal agencia de inteligencia; algunos actúan desde empresas nominalmente privadas bajo control estatal, y hay autónomos que ponen sus capacidades al servicio del PCCh y, a la vez, de su propio beneficio.

Rara vez se conocen sus verdaderas identidades, por lo que las empresas de ciberseguridad suelen asignarles apodos en función de sus métodos y su presunta base de operaciones. Por ello, grupos con nombres distintos pueden pertenecer a la misma entidad del PCCh y aparentar inactividad cuando cambian de herramientas.

«El peligro de tratar con estos actores patrocinados por el Estado reside en sus recursos casi ilimitados y su disposición a jugar a largo plazo», afirmó Bob Erdman, vicepresidente asociado de investigación y desarrollo de Fortra, una empresa de ciberseguridad.

Para el PCCh, el ciberespacio es uno de los instrumentos de la «guerra sin restricciones»: debilitar al adversario desde dentro, por debajo del umbral de la guerra convencional, según Casey Fleming, director ejecutivo (CEO) de BlackOps Partners. (Casey Fleming, director ejecutivo de BlackOps Partners)

«Dedicarán años a recopilar información y sentar las bases de sus operaciones. Además, tienen acceso a todo el aparato de inteligencia, lo que puede ser una excelente fuente de información, así como un marco e infraestructura para llevar a cabo estas operaciones».

El acceso a la infraestructura de internet de China permite ataques «man-in-the-middle» (intermediarios) para «explotar a usuarios cuyo tráfico transita por equipos propiedad de China o construida por ella», declaró a The Epoch Times en un mensaje de texto.

Su principal objetivo es Estados Unidos: no solo el gobierno estadounidense, sino también empresas privadas de interés estratégico para el PCCh. Los sectores objetivo abarcan desde grandes contratistas militares hasta telecomunicaciones, electrónica, ingeniería, minería, transporte marítimo, industria farmacéutica, energía, software y hardware, aeroespacial y aviación, e incluso educación.

Algunos grupos de hackers han mostrado un gran interés en detectar vulnerabilidades en infraestructuras críticas estadounidenses, como las redes eléctricas y el suministro de agua. Algunos grupos se dirigen específicamente a disidentes y críticos del PCCh en el extranjero.

«Para el PCCh, el ciberespacio es uno de los muchos métodos de guerra sin restricciones: debilitar al enemigo desde dentro sin reglas similares a las de una guerra convencional», declaró Casey Fleming, experto en riesgos estratégicos e inteligencia y director ejecutivo de BlackOps Partners, a The Epoch Times por correo electrónico.

«La maquinaria de ciberguerra del PCCh es más amplia de lo que suele estimarse: dispone de abundante mano de obra, opera con gran cohesión —y escasa fragmentación— bajo el régimen y explota la inteligencia artificial y otras tecnologías para maximizar el alcance y el impacto de sus ataques».

«Incluso las APT que, a simple vista, parecen asociadas a otras naciones o no presentan asociación alguna, pueden estar influenciadas por el PCCh entre bastidores», según Fleming.

«El PCCh es el que maneja las riendas», afirmó. «Colabora con otros estados y los entrena como socios de un eje contra Occidente. También recluta a operadores hostiles y les suministra malware (software malicioso) procedente de la Dark Web».

El gobierno estadounidense acusa periódicamente a piratas informáticos chinos implicados en ataques importantes, pero esto parece ser solo la punta del iceberg.

Mientras los hackers se encuentren en China, estarán «a salvo de repercusiones legales», afirmó Erdman.

Un problema importante es que las vulnerabilidades en los sistemas informáticos no solo obedecen a la falta de supervisión, sino también a cómo está configurado el modelo de negocio de las grandes empresas tecnológicas, según Rex Lee, experto en ciberseguridad de My Smart Privacy, que ha asesorado a grandes corporaciones y agencias gubernamentales, como el Departamento de Seguridad Nacional y la Agencia de Seguridad Nacional.

Evolución de las amenazas

A medida que las víctimas de ciberataques se han percatado de las tácticas de los atacantes, estos también se han vuelto más sofisticados, aprovechando nuevas tecnologías y desarrollando nuevos vectores de ataque, según declaró Lee a The Epoch Times.

Los informes sobre APT chinas se dispararon a mediados de la década de 2000. Entonces, los teléfonos inteligentes y las redes sociales estaban en sus inicios y la mayoría de los ataques seguían un patrón similar. El grupo atacante identificaba a personas con credenciales de acceso al sistema objetivo. Un ingeniero aeronáutico, por ejemplo, con acceso a un sistema que almacenara planos. Los atacantes le enviaban correos instándole a abrir un archivo adjunto infectado con malware.

Este método, llamado phishing, también ha evolucionado. Al principio, el texto del correo era genérico, probablemente en un inglés deficiente. Con el tiempo, la táctica evolucionó hacia el «spear phishing», que utiliza mensajes personalizados. El correo puede parecer enviado por un supervisor, por el departamento de tecnología de la información o por el de recursos humanos, y el adjunto puede aparentar ser un documento laboral legítimo. A medida que las empresas han adoptado políticas contra la apertura de adjuntos no solicitados, los atacantes han optado por enviar hipervínculos que dirigen al usuario a un sitio web infectado.

A diferencia de los estafadores en línea habituales, que intentan engañar a su víctima para que introduzca sus datos de acceso en un sitio web falso —normalmente de banca en línea—, los atacantes patrocinados por Estados adoptan un enfoque metódico y a largo plazo.

El primer malware que intentan introducir solo vigila el sistema objetivo. Recopila información detallada sobre el sistema, como aplicaciones, versiones y configuraciones utilizadas. Sin embargo, la función más importante es un keylogger, que registra todo lo que el usuario teclea. Tarde o temprano, el usuario introduce sus nombres de usuario y contraseñas para diversas partes del sistema, incluida aquella que almacena información restringida. Los hackers utilizan las credenciales robadas para buscar y extraer los datos objetivo.

A veces, los hackers toman una ruta indirecta. En lugar de atacar a la propia empresa o agencia gubernamental, atacan a contratistas de TI con acceso a sus sistemas. Algunas APT chinas han logrado comprometer a proveedores de servicios gestionados (managed service providers, MSP), empresas que proporcionan soluciones informáticas y de red a otras compañías. Muchas grandes corporaciones externalizan sus servicios de TI a MSP; por tanto, vulnerar un MSP importante puede proporcionar acceso a múltiples objetivos de alto valor.

En los últimos años, los piratas informáticos del PCCh han explotado con éxito otra táctica: apuntar a la infraestructura de red —enrutadores, conmutadores y cortafuegos—.

Si bien el spear phishing ha sido muy eficaz, su rendimiento ha disminuido a medida que los usuarios han ido desconfiando cada vez más de enlaces y adjuntos de cualquier tipo.

Los grupos de hackers han empezado a recurrir con mayor frecuencia a los ataques de «abrevadero» (watering hole). Con este método, primero crean un perfil de sus objetivos para determinar su comportamiento en línea e identificar sitios que suelen visitar. Después buscan vulnerabilidades en esas webs, instalan malware y esperan a que se produzcan las visitas para infectar los equipos.

En los últimos años, los atacantes del PCCh han explotado con éxito otra táctica: apuntar a la infraestructura de red —enrutadores, conmutadores y cortafuegos—. Los fabricantes actualizan con regularidad los parches para fallos de seguridad en el firmware de estos dispositivos, pero los usuarios finales no siempre los mantienen actualizados.

El ataque a gran escala contra compañías de telecomunicaciones en Estados Unidos y en otros países, descubierto en 2020, fue posible gracias a estas vulnerabilidades.

«Un informe publicado en septiembre —elaborado conjuntamente por agencias de ciberseguridad e inteligencia de señales de Estados Unidos, Canadá, Reino Unido, Australia, Alemania, Japón y otros países— afirma que estos actores APT obtienen un éxito considerable al explotar vulnerabilidades y exposiciones comunes (common vulnerabilities and exposures, CVE) de dominio público, además de otras debilidades evitables en infraestructuras ya comprometidas».

Los hackers lograron acceder a registros de llamadas, escuchas telefónicas de las fuerzas del orden y comunicaciones de funcionarios gubernamentales y políticos.

Espionaje por diseño

La última tendencia en ataques de hackers, según Lee, proviene de las aplicaciones para móviles.

«Los usuarios de teléfonos inteligentes se han acostumbrado a otorgar a las aplicaciones permisos para acceder a funciones básicas del teléfono, como la cámara, el teclado, el micrófono y la ubicación. La funcionalidad de la aplicación a menudo depende de esos permisos, pero las implicaciones son importantes», explica.

Los hackers respaldados por el régimen, con recursos considerables, pueden crear empresas desarrolladoras de aplicaciones que aparenten ser legítimas, publicar apps verosímiles y esperar a que objetivos de alto valor las descarguen.

«Cualquier aplicación con permisos estándar puede ver y oír a través del teléfono, además de registrar lo que el usuario escribe. También puede monitorizar los desplazamientos mediante GPS, Bluetooth, Wi-Fi, conexión a torres de telefonía e incluso el acelerómetro integrado», afirma Lee.

«Muchas aplicaciones van aún más allá y solicitan acceso a fotos, correos electrónicos y mensajes de texto, con lo que constituyen un paquete de vigilancia ideal», señala.

Los fabricantes de móviles permiten necesariamente que las aplicaciones recopilen estos datos porque gran parte del sector tecnológico obtiene ingresos significativos de la recopilación e intermediación de datos.

«Comercializan ese acceso con terceros desarrolladores», señala Lee. «Detrás de todo está la tecnología de seguimiento que sostiene el modelo de negocio del llamado «capitalismo de vigilancia»».

Si bien el sistema está configurado para recopilar datos personales con el fin de producir publicidad dirigida, es fácil que actores hostiles exploten ese mismo sistema.

Los atacantes respaldados por el régimen, con recursos considerables, con recursos considerables, pueden crear empresas desarrolladoras de aplicaciones que aparenten ser legítimas, publicar apps verosímiles y esperar a que objetivos de alto valor las descarguen.

«A simple vista, la aplicación podría ser casi cualquier cosa: un juego o incluso una aplicación de ciberseguridad», según Lee.

Las empresas tecnológicas han estado eliminando aplicaciones utilizadas con fines maliciosos, pero surgen otras de forma continua.

«La única manera de proteger realmente los datos», explica Lee, «es almacenarlos en un sistema separado que no utilice ninguno de los sistemas operativos que permiten la minería de datos. Algunas empresas, incluidos importantes contratistas de defensa, ya han tomado esa vía».

(Pinche aquí para ver la imagen ampliada de la infografía).

Artículo publicado originalmente en The Epoch Times con el título «INFOGRAPHIC: The CCP’s Cyberwar Machine».