Publicaciones
El 27 de agosto de 2025, una coalición internacional liderada por EE. UU. y los Five Eyes (Reino Unido, Canadá, Australia y Nueva Zelanda), junto a socios europeos y asiáticos, publicó un aviso conjunto que atribuye a Salt Typhoon -presuntamente vinculado al Estado chino- una campaña de ciberespionaje de gran escala. Según esa alerta y coberturas principales, la operación habría impactado a más de 80 países y 600 compañías, con alrededor de 200 organizaciones afectadas solo en EE. UU., tras comprometer redes de telecomunicaciones y acceder a registros de llamadas y otros metadatos sensibles. El documento también vincula a tres empresas chinas por brindar apoyo operativo y logístico a la campaña.
Salt Typhoon viene activo al menos desde 2019, especializado en infiltrarse en infraestructura de red (routers, backbones y sistemas de interceptación legal) y expandirse desde telcos hacia sectores como transporte y hospedaje. A comienzos de 2025, el Departamento del Tesoro ya había sancionado a una empresa china por su relación directa con el grupo. Las agencias de ciberseguridad (FBI/NSA/CISA y pares aliados) advierten que, aunque parte de la actividad fue contenida, persisten puertas traseras que requieren mitigación inmediata.
Como ya mencionamos, la coalición internacional de los Five Eyes publicó un aviso técnico conjunto que atribuye a Salt Typhoon, una operación de ciberespionaje a gran escala. El documento eleva el alcance a 80+ países y 600+ compañías, con ~200 organizaciones impactadas solo en EE. UU., tras comprometer redes de telecomunicaciones y expandirse a sectores como transporte y hospedaje. Las agencias calificaron la campaña como una de las más serias de los últimos años y advirtieron que persisten accesos no autorizados que requieren mitigación inmediata.
El aviso revela que los intrusos accedieron a metadatos y, en casos concretos, a sistemas de interceptación legal de operadoras, elevando el riesgo para la privacidad y la seguridad nacional. Medios que revisaron el documento señalan que el foco inicial fue la infraestructura de telcos estadounidenses y que el monitoreo podría haber permitido el seguimiento de individuos de alto perfil, con potencial acceso a registros de llamadas y otras fuentes sensibles. Aunque parte de la actividad fue contenida, la recomendación oficial es tratar los entornos como comprometidos hasta descartar backdoors residuales.
En paralelo, los gobiernos señalaron con nombre y apellido a tres empresas chinas por dar soporte logístico/técnico a Salt Typhoon —Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology y Sichuan Zhixin Ruijie Network Technology— y recordaron que Sichuan Juxinhe ya había sido sancionada por el Tesoro de EE. UU. a inicios de 2025 por su rol en la campaña. El paquete oficial incluye IoC/TTP para defensa y se suma a guías previas de CISA/NSA/FBI para endurecer la infraestructura de comunicaciones.
La atribución pública llegó con un aviso técnico conjunto firmado por EE. UU. y los Five Eyes. Ese documento consolidó meses de telemetría compartida, rastros en telcos y hallazgos forenses hasta vincular la campaña a Salt Typhoon y a tres compañías chinas que habrían brindado soporte.
Antes del anuncio, las agencias ya venían coordinando derribos y difusión de IoC/TTP a operadores críticos, en un esfuerzo por “expulsar” al actor de redes de telecomunicaciones. El día del aviso, FBI/NSA y aliados activaron una campaña de divulgación técnica para que empresas y CSIRTs verificaran compromisos y cerraran backdoors, en línea con el canal oficial de advisories de CISA.
El modus operandi combina intrusiones silenciosas en routers y equipos de red (proveedores y telcos) con técnicas living-off-the-land para persistir y exfiltrar sin disparar alertas. Reportes técnicos apuntan a la explotación oportunista de fallas en Cisco IOS XE y abuso de credenciales para mover lateralmente y tocar configuraciones de red, lo que habilita acceso a metadatos y, en casos documentados, a sistemas de interceptación legal (LI) de operadoras.
Con la puerta abierta, el grupo prioriza registros de llamadas, geolocalización y otros datos sensibles que permiten vigilar personas e intereses a escala. La coalición describe compromisos en telcos de EE. UU. y expansión a transporte y hospedaje, consistente con campañas previas atribuidas a China contra infraestructura crítica. La alerta enumera indicadores y mitigaciones específicas para cortar esa persistencia.
A nivel comparado, Salt Typhoon no es un programa estatal legalmente establecido como PRISM (recolecta datos vía órdenes secretas a big tech, revelado en 2013) ni una malla de intercepción como ECHELON (histórico sistema de señales de los Five Eyes). Es intrusión no autorizada en redes privadas para espionaje. La diferencia clave: PRISM y ECHELON operan bajo marcos de sus Estados (con polémica y controles debatibles), mientras que Salt Typhoon burla esos marcos desde el exterior para obtener un efecto parecido —acceso masivo a metadatos y comunicaciones— sin consentimiento ni supervisión del país víctima.
Salt Typhoon expone un punto débil estratégico: cuando un actor estatal compromete telcos y equipos de red, ya no solo roba datos, sino que conquista ventaja geopolítica al acceder a metadatos, rutas y, en ciertos casos, a sistemas de interceptación legal. La respuesta coordinada de Five Eyes y aliados —con atribución pública, sanciones y guías técnicas— marca un umbral: el ciberespionaje sobre infraestructura de comunicaciones dejó de ser “ruido de fondo” y pasó a ser un asunto de seguridad nacional con responsabilidades compartidas entre reguladores y compañías.
Para LATAM, la tarea es inmediata y concreta: adoptar los IoC/TTP del aviso, auditar routers y out-of-band management, revisar logs de interceptación y cerrar persistencias antes de que se conviertan en norma. Esto exige mesas CTI público-privadas, segmentación estricta en telcos y coordinación con CSIRTs regionales; no basta con parches reactivos. El caso demuestra que, a diferencia de marcos legales como PRISM o ECHELON, aquí hablamos de intrusión no autorizada contra Estados y empresas: si no se endurece la capa de red, se discutirá soberanía con backdoors activos.
Un comentario
Ya no bastará contar con un cuarto de guerra, habrá que tener un ejército de especialistas en ciberseguridad y todo lo que implica el espionaje y todo lo demás.