Agente cibernético del FBI de EE. UU.: Salt Typhoon hackeó a casi todos los estadounidenses

 (theregister.com)
1 puntos por GN⁺ 2025-09-01 | 1 comentarios | Compartir por WhatsApp
  • El grupo de hackers Salt Typhoon penetró durante años las redes de telecomunicaciones de Estados Unidos y recopiló a gran escala información sensible de millones de personas
  • Este ataque fue una actividad de espionaje de una escala sin precedentes que apuntó indiscriminadamente a los estadounidenses
  • Las empresas de apoyo de Salt Typhoon, vinculado al gobierno chino, comprometieron entidades en más de 80 países, y unas 200 organizaciones estadounidenses resultaron afectadas
  • Como resultado del ataque, se produjo seguimiento de ubicación de millones de usuarios de teléfonos móviles, vigilancia del tráfico de internet e incluso intercepción de algunas llamadas telefónicas
  • El FBI considera que amenazas cibernéticas aún más sofisticadas seguirán aumentando en el futuro y advierte sobre la necesidad de reforzar la seguridad

Resumen de la campaña de espionaje Salt Typhoon

  • El FBI confirmó que Salt Typhoon, un grupo de hackers respaldado por el gobierno chino, penetró durante años las principales redes de telecomunicaciones de Estados Unidos y recopiló en masa datos personales de muchos estadounidenses
  • El subdirector de ciberseguridad del FBI, Michael Machtinger, mencionó en una entrevista con medios que este ataque de espionaje pudo haber robado información de casi todos los estadounidenses
  • Antes existía la percepción de que las personas sin información sensible no serían objetivo, pero Salt Typhoon dejó claro que cualquiera puede convertirse en blanco de un ciberataque

Alcance del ataque y responsables

  • Las actividades de ciberespionaje de Salt Typhoon comenzaron al menos en 2019 y fueron descubiertas por el gobierno de Estados Unidos en el otoño de 2023
  • Además de Estados Unidos, agencias gubernamentales de 12 países emitieron una advertencia conjunta sobre la gravedad de este ataque
  • El alcance de la intrusión se expandió más allá de 9 grandes operadores de telecomunicaciones en Estados Unidos y de las redes gubernamentales, hasta organizaciones en más de 80 países
  • Unas 200 organizaciones estadounidenses resultaron afectadas, incluidas grandes telecos como Verizon y AT&T
  • Entre las empresas señaladas como responsables están Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology y Sichuan Zhixin Ruijie Network Technology
    • Estas compañías proporcionan soluciones cibernéticas al Ministerio de Seguridad del Estado de China y al Ejército Popular de Liberación

Método de ataque y tipos de daños

"Lo que China hace a través de estos intermediarios va mucho más allá de lo habitual en la industria del ciberespionaje y constituye una conducta indiscriminada y peligrosa"

  • Machtinger calificó este caso como una grave intrusión de ciberespionaje sin precedentes en Estados Unidos
  • Salt Typhoon realizó una selección masiva e indiscriminada de objetivos, interceptando datos de geolocalización, tráfico de internet e incluso el contenido de algunas llamadas telefónicas de millones de usuarios móviles
  • Entre los afectados no solo hay ciudadanos comunes, sino también más de 100 altos funcionarios de administraciones presidenciales actuales y anteriores
    • Algunos medios reportaron que el presidente Donald Trump y el vicepresidente JD Vance también fueron objetivo
  • En el caso de las figuras de alto nivel, hubo afectaciones más profundas, como la intercepción del contenido real de las comunicaciones

Amenazas cibernéticas similares originadas en China

  • Además de Salt Typhoon, el grupo Volt Typhoon hackeó cientos de routers obsoletos para construir una botnet y acceder a redes de infraestructura crítica de Estados Unidos
    • Más tarde se confirmó que el objetivo era preparar ataques cibernéticos destructivos
  • El grupo Silk Typhoon atacó durante más de una década a proveedores de TI y nube, robando datos de gobiernos, tecnología, educación, derecho y otros sectores

Otras amenazas cibernéticas globales

  • Machtinger señaló que, además de China, Rusia, Irán y Corea del Norte, así como grupos de ciberdelincuencia y bandas de ransomware dentro y fuera del país, mantienen ataques constantes a diario
  • Se espera que estos actores adopten métodos de ataque cada vez más sofisticados
  • Subrayó la necesidad de tomar medidas activas de ciberseguridad, como elevar la conciencia de seguridad, mantener los sistemas actualizados y reemplazar equipos obsoletos

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-01
Opinión de Hacker News

  • La comunidad de seguridad advirtió que, si se automatiza demasiado el acceso legal a las escuchas (Lawful Access), tarde o temprano los actores maliciosos se meterán en la red
    Ahora mismo, China está aprovechando sistemas debilitados por CALEA para llevarse datos de red de todo Estados Unidos
    Viendo casos como cuando la NSA interceptó el backbone de Google, Room 641A, MAINWAY, Poindexter y TIA, o Palantir, Estados Unidos tampoco era la excepción
    La NSA originalmente hacía tanto defensa como ataque, pero desde hace ya décadas se convirtió en una organización enfocada solo en atacar, y quienes creyeron que solo Estados Unidos podría hacer este tipo de cosas fueron demasiado ingenuos

    • Una puerta con cerradura solo puede abrirla alguien que tenga la llave...
      Pero también se puede ganzuar sin llave, levantar la puerta, sacar las bisagras, romperla, pasar por debajo o por arriba, engañar a quien tiene la llave para que la abra, y con algo de imaginación hay muchas más formas

    • Me da curiosidad cómo la comprometieron realmente
      Mi apuesta es que comprometieron a un proveedor de software que soporta CALEA, o que atacaron a un proveedor de Mediator Device usado por varias telecos
      Un MD (Mediator device) es un equipo de software que se encarga de la captura de flujos (solicitudes de wiretap) y de la gestión de evidencia pcap
      Normalmente, el MD activa puertos (r)span en el equipo de red mediante sondeo SNMP, absorbe todos los datos y los guarda
      Como no hay muchos detalles técnicos, me pregunto qué proveedor fue y qué equipo comprometieron
      Para una explicación más detallada de LI (Lawful Intercept), ver aquí

    • Mucha gente que trabajaba en la NSA ahora trabaja para empresas privadas de seguridad como NSO Group
      Da miedo ver en lo que terminó eso, pero viendo los sueldos que les ofrecieron, yo también me lo pensaría si me llegara una propuesta así
      Si quieren contexto de primera mano, recomiendo el libro de Nicole Perlroth, 'This Is How They Tell Me the World Ends'
      Han pasado muchas cosas desde que salió, pero sigue siendo una buena referencia para entender ese mundo

    • Tal vez esta decisión absurda se deba a que la gente con poder le teme más a sus propios ciudadanos que a las amenazas externas

    • Son idiotas con un complejo de superioridad moral
      No es que hayan olvidado las operaciones ofensivas; es que probablemente ni sabían que eso había pasado, o no les importaba

  • Yo tuve experiencia escribiendo especificaciones de lawful intercept para nodos 3G GGSN
    Fue hace mucho, pero en esa época las especificaciones estaban diseñadas para que no quedara registro de la interceptación ni siquiera en el sistema de gestión de red
    Así que la teleco no podía saber si había una interceptación en curso, y la orden de interceptar la emitía directamente la autoridad mediante la consola de LI
    En ese entonces se podía interceptar hasta el 3% del tráfico total, y había casos en los que ni el objetivo ni la operadora sabían que estaba ocurriendo
    No es que los sistemas de lawful intercept sean especialmente fáciles de hackear, pero una vez comprometidos es muy difícil detectar si se están usando de forma indebida
    Por eso es tan difícil saber con certeza cuándo y cómo empezó una intrusión

    • Me parece peligrosísimo que el operador de red no pueda ver absolutamente ningún log de auditoría sobre el lawful intercept
      Si alguien entra, da la impresión de que nadie se enteraría

  • Este es el resultado real de instalar backdoors gubernamentales obligatorias en la infraestructura de red
    Cuesta creer que una infraestructura tan crítica haya tenido una seguridad tan floja
    Después del hackeo de OPM y del fracaso de la CIA al manejar sus sitios de entrega en línea, ya no sorprende en absoluto la incompetencia del gobierno en seguridad

    • Estoy considerando seriamente dejar de usar número telefónico por completo
      La seguridad es demasiado débil, y aunque el número se usa como medio de verificación de identidad casi al nivel del número de seguro social, en realidad no es algo estrictamente necesario

    • Los atacantes patrocinados por Estados al más alto nivel pueden penetrar casi cualquier sistema incluso sin backdoors, gracias a su capacidad técnica, recursos y persistencia
      No se trata solo de culpar a los backdoors; hace falta una resiliencia cibernética mucho más fuerte y mejores capacidades defensivas
      Vale la pena leer el informe reciente del Atlantic Council sobre cómo podría responder Estados Unidos al sistema estatal chino de recolección de vulnerabilidades
      Enlace al informe

    • Las computadoras nunca podrán ser 100% seguras, y a nivel estatal menos todavía, porque el acceso físico al hardware es relativamente fácil; al final la seguridad siempre es una cuestión de dinero y de seguir agregando ceros

  • En el caso de Salt Typhoon, de forma poco común, aunque se hizo ampliamente conocido en 2024, todavía no está completamente contenido y sigue en curso
    La mayoría de los incidentes comparten lecciones en análisis posteriores, pero esta vez los atacantes todavía tienen control sobre la red y los datos siguen saliendo
    Artículo relacionado

  • El comunicado oficial de CISA puede verse aquí

    • Dicen que Doge y MAGA recortaron 30% del personal de esa agencia (CISA)
      Justo ahora que la ciberseguridad y la seguridad de infraestructura son más importantes que nunca, qué oportuno despedir a todos los burócratas (?)
      Enlace al artículo relacionado

    • Enlace directo al aviso oficial del gobierno: ver aquí

  • Hubo una declaración que decía que “China, mediante estas acciones, está actuando de manera imprudente y peligrosa más allá de las normas habituales del espionaje”, y me pregunto qué significa exactamente el ‘estándar’ del espionaje

    • Viendo cómo las agencias de inteligencia de Estados Unidos recopilan comunicaciones globales con PRISM, Upstream y otros programas,
      creo que aquí ‘estándar’ significa que hasta ahora solo Estados Unidos podía hacer este tipo de cosas
      Ahora China se convirtió en un competidor del mismo nivel

    • Parece que se refieren al ‘estándar’ según el cual solo el gobierno de Estados Unidos puede hacer vigilancia masiva ilegal sobre su propia población
      La reacción frente a que China haga esto parece ser algo como “¿y estos cómo se atreven?”

    • Creo que se refieren al ‘indiscriminate targeting’, es decir, atacar sin discriminar objetivos
      El subdirector cibernético del FBI dijo: “China nos ha llevado a una era en la que incluso las personas que no trabajan en sectores sensibles ya no pueden asumir que no serán objetivo”

    • Yo ni siquiera sabía que hubiera normas o una especie de libro de reglas para espías
      Siempre pensé que la única regla era “que no atrapen a nadie”
      Pero puede que yo simplemente no sepa lo suficiente del tema

    • Al final, parece que solo son reglas blandas que existen en la cabeza de la gente

  • Me pregunto si hay otras fuentes confiables aparte del gobierno sobre este reporte
    Parece suficientemente plausible como para haber ocurrido, pero con el historial de tantas mentiras,
    me cuesta confiar solo en lo que dice el gobierno actual y una fuente externa, no partidista, me resultaría mucho más convincente

    • Verizon dice que ciertos políticos fueron blanco específico
      Enlace relacionado

    • Un amigo mío del área de seguridad en Australia me dijo que China ya tiene prácticamente todo lo que hay que tener de los datos de Estados Unidos

  • El gobierno de Estados Unidos va a seguir intensificando la vigilancia de todos modos

  • Según la Casa Blanca y el FBI, hackers chinos atacaron indiscriminadamente, rastrearon la ubicación de millones de celulares, monitorearon tráfico de internet y en algunos casos incluso grabaron llamadas
    Entre las víctimas estuvieron el expresidente Donald Trump y el vicepresidente JD Vance
    Yo imaginaba que esta vigilancia se había hecho conectándose directamente a torres celulares o a la infraestructura, pero al ver la página de Wikipedia parece que la vía real fue comprometer servidores
    Me pregunto si hackearon servidores de AT&T o algo así
    También me pregunto si hay alguna forma de evitar que se lleven mis datos en casos así
    Aunque use VPN, si pueden obtener la ubicación por triangulación, parece que no hay salida salvo apagar por completo el teléfono
    Fuente - metodología de Salt Typhoon

    • En un caso así, la única forma de que te quiten menos datos es no usar tu número telefónico en absolutamente nada y configurar la SIM solo para datos, cambiándola o rotándola con frecuencia

    • Esto me recuerda que regulaciones sobre venta/intermediación de datos como el GDPR al menos sirven para evitar el peor escenario
      Puede que en este hackeo la fuente de los datos haya sido efectivamente el lado comprometido,
      pero el problema estructural es que gran parte de esos datos ya se pueden comprar legalmente en un ‘mercado no gris’
      Hubo un periodista que compró datos públicos de ubicación e hizo un experimento para identificar a empleados de inteligencia
      Aunque se venda menos, mientras esos datos sigan almacenados en lugares fáciles de hackear, el límite seguirá ahí

    • Mencionan que entre las víctimas estaban el presidente Trump y el vicepresidente JD Vance
      Habría sido divertido que el periodista le pidiera un comentario a Angela Merkel

  • Sobre esto, hay un artículo que dice que Israel también estuvo involucrado en escuchas a las telecomunicaciones de Estados Unidos
    El gobierno de Israel también estaría en posición de acceder a redes estadounidenses usando métodos similares a los de China