Resumen sobre la amenaza cibernética de la República Popular de China
Introducción
El Centro Canadiense de Seguridad Cibernética y el FBI han emitido advertencias sobre la amenaza cibernética que representa la República Popular de China (PRC), específicamente a través de un grupo patrocinado por el estado conocido como Typhoon Salt. Este boletín cibernético busca sensibilizar a las organizaciones canadienses, especialmente a las de telecomunicaciones, sobre las actividades maliciosas que realiza este grupo, que ha estado comprometiendo redes de proveedores de telecomunicaciones globales en una extensa campaña de espionaje.
Amenazas hacia las organizaciones canadienses
El Centro Cibernético ha identificado actividades cibernéticas maliciosas focalizadas en las compañías de telecomunicaciones canadienses, perpetradas casi con certeza por actores respaldados por la PRC. En febrero de 2025, tres dispositivos de red de una compañía canadiense fueron comprometidos mediante la explotación de la vulnerabilidad CVE-2023-20198. Esto permitió a los atacantes acceder a configuraciones de red y establecer un "Gris Túnel" para recopilar tráfico de datos.
A través de investigaciones, se ha confirmado que los indicadores de ataques ocurridos están alineados con aquellos asociados a Typhoon Salt. Las actividades de estos actores podrían facilitar la recopilación de información interna y potencialmente comprometer a otras víctimas, aunque algunas de las acciones parecen limitarse a actividades de reconocimiento.
Se evalúa que los ciberactores respaldados por la PRC continuarán sus ataques a organizaciones canadienses, incluidas las telecomunicaciones y sus clientes, en los próximos años. Para mitigar estos riesgos, se recomienda a las organizaciones consultar guías sobre el endurecimiento de redes y seguridad de dispositivos.
Enfoque en las telecomunicaciones
Las redes de telecomunicaciones son un objetivo prioritario para los actores patrocinados por el estado, que dependen del acceso a estas para reunir información de inteligencia. Los proveedores de servicios de telecomunicaciones (TSP) procesan y almacenan inmensas cantidades de datos de clientes, que tienen un alto valor informativo.
Los TSPs han sido objeto de compromisos a nivel global, facilitando programas de inteligencia que buscan exfiltrar datos de clientes y obtener información sobre objetivos de interés, incluyendo funcionarios gubernamentales. Los ataques recientes han demostrado que los actores han podido robar registros de llamadas y monitorear comunicaciones, principalmente a través de la explotación de vulnerabilidades en dispositivos de red, como enrutadores.
El compromiso de las redes de los TSP ha sido especialmente crítico, con investigaciones de 2024 revelando que actores cibernéticos de la PRC habían infiltrado redes de TSPs globales, incluyendo operadores inalámbricos en EE. UU. Este tipo de operaciones se vuelven preocupantes, especialmente cuando comprometen datos sensibles de organizaciones que dependen de estos servicios.
Vulnerabilidades en el perímetro de la red
Los actores cibernéticos han demostrado una tendencia a explotar vulnerabilidades en dispositivos de seguridad y de red ubicados en el perímetro, como enrutadores y firewalls. Al hacerlo, un atacante puede infiltrarse en la red, monitorizar, modificar y exfiltrar tráfico de datos, así como avanzar más profundamente dentro de la infraestructura de la víctima.
La PRC ha estado dirigiendo sus ataques hacia estos dispositivos, utilizando vulnerabilidades conocidas para mantener acceso a los TSPs. A pesar de la creciente conciencia sobre estas amenazas, es probable que los actores continúen operando, lo que subraya la necesidad de que las organizaciones mantengan su vigilancia y actualicen sus medidas de seguridad.
Recursos útiles
Se recomienda a las organizaciones consultar diversos recursos en línea, incluidos informes y evaluaciones de amenazas canadienses, para obtener más información y apoyo sobre cómo protegerse de estos ataques cibernéticos y fortalecer su infraestructura de red.