Ciberespionaje chino: la guerra invisible que amenaza a Occidente

El 4 de marzo, el Departamento de Justicia de Estados Unidos acusó a diez ciudadanos chinos de realizar hackeos masivos contra agencias gubernamentales, medios de comunicación y disidentes en Estados Unidos y en todo el mundo. Lo habrían hecho en nombre de la empresa china i-Soon, por encargo del gobierno de Pekín. También fueron imputados dos funcionarios del Ministerio de Seguridad Pública de China (MPS), señalados como los responsables de “dirigir los ataques”.

Según documentos en poder de la justicia estadounidense, los servicios de inteligencia interna de China (MPS) y su inteligencia exterior (Ministerio de Seguridad del Estado, MSS) recurrieron a una amplia red de empresas privadas y contratistas nacionales para hackear y robar información, ocultando así la implicación directa del gobierno chino.

En algunos casos, el MPS y el MSS pagaron a hackers privados para atacar a víctimas específicas. En muchos otros, los ataques fueron especulativos: los hackers identificaban computadoras vulnerables, las penetraban y extraían información que luego vendían, directa o indirectamente, al gobierno chino.

El crecimiento del ciberespionaje chino y sus principales ámbitos de acción

No se trata de un caso aislado. En la última década, el programa de hackeo de la República Popular China (RPC) ha crecido rápidamente. En 2023, el entonces director del FBI, Christopher Wray, afirmó que era mayor que el de todas las demás potencias mundiales combinadas. Este crecimiento en poder y sofisticación ha llevado a éxitos en tres áreas clave: política, sabotaje de infraestructuras críticas y robo de propiedad intelectual a escala global.

Pekín emplea redes informáticas, guerra electrónica, recursos económicos, diplomáticos, legales, militares, de inteligencia, psicológicos, de engaño militar y operaciones de seguridad de manera integrada para debilitar a los Estados, hacerlos económicamente dependientes de China y más receptivos a “un nuevo orden mundial autoritario con características chinas”.

Por eso, a diferencia de las interpretaciones tradicionales, el hackeo estatal chino debe entenderse dentro de un contexto más amplio, en el que el control de la tecnología, infraestructuras estratégicas y cadenas de suministro globales forma parte de operaciones de guerra “transmilitar” y “no militar”, como describieron dos coroneles del Ejército Popular de Liberación (EPL) en el libro Guerra sin restricciones (1999). Este enfoque se conoce como guerra liminal, una guerra creciente en la que el espectro de competencia y confrontación con Occidente es tan amplio que el campo de batalla está en todas partes.

El ciberespionaje como herramienta de guerra electrónica

En la guerra electrónica, el hackeo se usa para sabotaje en tiempos de crisis o conflicto. Estas acciones están lideradas por el Ejército Popular de Liberación (EPL), brazo armado del Partido Comunista Chino.

En 2023 se descubrió que un grupo de hackers vinculado el EPL, conocido como Volt Typhoon, había penetrado durante años un amplio abanico de infraestructuras críticas en EE.UU., incluyendo puertos, fábricas y plantas de tratamiento de agua, tanto en territorio continental como en puntos estratégicos como Guam.

“Volt Typhoon es una operación militar con fines estratégicos políticos y potencialmente militares”, explicó Ciaran Martin, exdirector de la agencia de ciberseguridad británica. Dirigida por la unidad informática del EPL, esta operación consistió en instalar capacidades de preparación —“trampas digitales”, como las llaman algunos— en infraestructuras críticas estadounidenses.

El canal más dañino para el robo de propiedad intelectual es el ciberespionaje. Las intrusiones permiten a empresas chinas —a veces con apoyo directo del Partido Comunista o del Estado— acceder a información estratégica.

Además de un ataque sostenido en 2023 contra una empresa eléctrica en Massachusetts, cuyo objetivo era extraer datos sensibles sobre su infraestructura operativa (OT), Volt Typhoon ganó notoriedad por múltiples ataques a sistemas de telecomunicaciones en EE.UU. y otras infraestructuras críticas a nivel global. Una de sus subunidades, Voltzite, atacó los Departamentos de Electricidad y Agua de Littleton, lo que llevó al FBI y a la empresa de ciberseguridad Dragos a actuar conjuntamente, revelando los detalles del ataque y su mitigación en un informe recientemente publicado.

Robo de propiedad intelectual mediante ciberespionaje

El canal más dañino para el robo de propiedad intelectual es el ciberespionaje. Las intrusiones permiten a empresas chinas —a veces con apoyo directo del Partido Comunista o del Estado— acceder a información sobre operaciones, proyectos y tecnología de compañías extranjeras.

China ha usado campañas de ciberespionaje coordinadas y respaldadas por el Estado para robar información a empresas de sectores estratégicos como petróleo, energía, acero y aviación. Estas acciones sirven tanto para obtener ciencia y tecnología como para recopilar información útil para futuros ataques a sistemas militares, gubernamentales o técnicos.

En EE.UU., los antecedentes son numerosos:

• En 2014, cinco hackers del EPL fueron acusados de espionaje económico.
• En 2017, tres hackers vinculados a la firma Boyusec, con base en China, fueron acusados de robar información empresarial confidencial.
• En 2018, dos ciudadanos chinos fueron acusados de robo de propiedad intelectual.
• En 2020, se acusó a dos hackers vinculados al MSS por atacar investigaciones sobre covid-19.

En marzo de 2024, el Departamento de Justicia de EE.UU. acusó a hackers vinculados al MSS de atacar a “todos los miembros de la Unión Europea” de la Alianza Interparlamentaria sobre China (IPAC), una coalición crítica de Pekín.

Destaca, entre las anteriores, la acusación de 2018, pues formó parte de un esfuerzo de EE.UU. para alertar sobre el ciberespionaje chino. En aquella ocasión, los hackers del país asiático desplegaron una campaña conocida como Cloud Hopper, que implicó un ataque a la cadena de suministro de proveedores de servicios como Hewlett Packard e IBM. Los acusados trabajaban para Huaying Haitai y colaboraban con el Buró de Seguridad de Tianjin del MSS.

En 2017, la Comisión sobre el Robo de Propiedad Intelectual en EE.UU. estimó que estos delitos le costaban a la economía hasta 600 mil millones de dólares anuales, cifra comparable al presupuesto de defensa del Pentágono y superior a las ganancias combinadas de las 50 empresas más grandes de Fortune 500.

Más allá de Estados Unidos: el impacto global del ciberespionaje chino

En junio de 2024, la inteligencia militar neerlandesa (MIVD) advirtió que el ciberespionaje chino era más amplio de lo que se creía, afectando a gobiernos occidentales y empresas de defensa. Un ciberataque de 2023 contra el Ministerio de Defensa neerlandés habría afectado a al menos 20,000 personas en pocos meses.

En 2018, la Agencia Nacional de Seguridad Cibernética e Informática de la República Checa (NUKIB) emitió una advertencia sobre riesgos vinculados a China. Desde entonces, el país ha reforzado sus capacidades y controles frente a Pekín. También ha trabajado en mecanismos para contrarrestar la manipulación informativa extranjera.

Según fiscales estadounidenses, docenas de parlamentarios europeos han sido blanco de ataques chinos. En marzo de 2024, el Departamento de Justicia de EE.UU. acusó a hackers vinculados al MSS de atacar a “todos los miembros de la Unión Europea” de la Alianza Interparlamentaria sobre China (IPAC), una coalición crítica de Pekín. En 2021, los hackers enviaron más de mil correos electrónicos a unas 400 cuentas de personas vinculadas a IPAC, buscando espiar su actividad en internet y sus dispositivos.

A diferencia de otros grupos alineados con el EPL, cuyas operaciones se limitan a regiones específicas, APT41 actúa globalmente, atacando sectores estratégicos en Estados Unidos, Europa, América Latina y el Caribe.

Por otra parte, ASML, la empresa neerlandesa líder en litografía para semiconductores, sufre “miles de incidentes de seguridad al año”, con varios intentos exitosos de infiltración china. Centros de investigación como Imec (Bélgica) también son blanco frecuente. Bélgica ha expulsado a investigadores chinos sospechosos de espionaje. La Unión Europea ha reforzado la seguridad y ha identificado a los semiconductores avanzados como una de las cuatro tecnologías críticas que requieren evaluaciones de riesgo y protección reforzada.

Destaca también el caso de APT41, uno de los grupos de ciberespionaje chino más activos y sofisticados, con base en la RPC y vinculado al MSS. Según Google Threat Intelligence Group, APT41 combina el espionaje estatal con ataques de ransomware —programas maliciosos que cifran archivos y exigen rescate económico para restaurarlos—, dificultando así la atribución de responsabilidades.

A diferencia de otros grupos alineados con el EPL, cuyas operaciones se limitan a regiones específicas, APT41 actúa globalmente, atacando sectores estratégicos en Estados Unidos, Europa, América Latina y el Caribe. También lleva a cabo acciones con fines económicos, especialmente en la industria de los videojuegos. Mandiant, compañía líder a nivel global en ciberseguridad, destaca la capacidad técnica de APT41: explota con frecuencia vulnerabilidades zero-day y n-day, y usa métodos como phishing, ingeniería social e inyecciones SQL.

Desde 2020, APT41 ha dirigido campañas a gran escala contra más de 75 empresas en más de 20 países. Es responsable de comprometer cadenas de suministro, como en el caso de ShadowHammer, campaña dirigida contra ASUS que afectó a más de 50 mil sistemas en 2018.  A APT41 también se le atribuye el uso de malware como MESSAGETAP en redes de telecomunicaciones.

El rol de las universidades en el ciberespionaje chino

Las universidades chinas también colaboran con el EPL y el MSS en operaciones de ciberespionaje patrocinadas por el Estado. La Universidad Jiao Tong de Shanghái colabora directamente en operaciones para el ejército chino. Las universidades de Zhejiang y el Instituto de Tecnología de Harbin son centros clave para reclutar hackers.

La Universidad de Xidian ofrece a sus estudiantes experiencia práctica en oficinas provinciales del MSS, y mantenía vínculos con el Tercer Departamento del Estado Mayor del EPL, antes de que esta entidad se reorganizara en 2015 como Departamento de Sistemas de Red. Uno de sus programas de posgrado está codirigido junto con la Oficina de Guangdong del Centro Chino de Seguridad y Evaluación de Tecnologías de la Información (ITSEC), una oficina del MSS que dirige un activo equipo de hackers contratistas.

La Universidad del Sureste (Southeast University) mantiene vínculos con los servicios de seguridad y codirige el Purple Mountain Lab junto con la Fuerza de Apoyo Estratégico del EPL. Allí, investigadores trabajan juntos en “requerimientos estratégicos importantes”, sistemas operativos y estudios interdisciplinarios en ciberseguridad. Esta universidad también recibe financiamiento del EPL y del MSS para desarrollar las capacidades cibernéticas de China.

Algunas empresas de ciberseguridad chinas, como Beijing TopSec, colaboran con el EPL en campañas de hackeo, formación de operadores y entrenamiento de futuros hackers.

El programa de licenciatura en Ciberseguridad de la Universidad Jiao Tong de Shanghái (SJTU) se imparte en una base de ingeniería de la información del EPL. Dentro de este programa, la SJTU afirma trabajar en “pruebas y evaluación de redes y sistemas de información, pruebas de seguridad para redes inteligentes conectadas, pruebas de ataque y defensa APT, y tecnologías clave para rangos cibernéticos”.

Entre las universidades asociadas al MSS para reclutamiento de talento se encuentran la Universidad China de Ciencia y Tecnología, la Universidad Jiao Tong de Shanghái, la Universidad Jiao Tong de Xi’an, el Instituto de Tecnología de Pekín, la Universidad de Nankín y el Instituto de Tecnología de Harbin. Además, algunas empresas de ciberseguridad chinas —como Beijing TopSec— colaboran con el EPL en campañas de hackeo, formación de operadores y entrenamiento de futuros hackers.

Este artículo fue publicado en italiano por Agenda Digitale y traducido por Expediente Abierto con permiso del autor.