Hackers chinos violan la Guardia Nacional de EE. UU. en un importante ciberataque

Un memo confidencial del Departamento de Seguridad Nacional (DHS) revela que la red informática de la Guardia Nacional del Ejército de un estado de EE. UU. fue infiltrada por un grupo de hackers vinculado al estado chino, conocido como “Salt Typhoon”.

El memo, reportado por primera vez por NBC, fue obtenido a través de una solicitud de la Ley de Libertad de Información (FOIA) presentada por la organización sin fines de lucro de transparencia en seguridad nacional, Property of the People.

Además, dice que los hackers “comprometieron extensamente la red de la Guardia Nacional del Ejército de un estado de EE. UU.” durante nueve meses, de marzo a diciembre de 2024, y permanecieron indetectados. Esta violación marca una de las campañas de ciberespionaje más grandes contra la infraestructura militar estadounidense en tiempos recientes.

¿Qué es Salt Typhoon?

Salt Typhoon es un actor de amenaza persistente avanzada (ATP) que se cree que es operado por la agencia de inteligencia del Ministerio de Seguridad del Estado de China (MSS). Es conocido por llevar a cabo campañas de ciberespionaje de alto perfil, particularmente contra los Estados Unidos. El grupo de hackers se enfoca en recopilar inteligencia y obtener acceso persistente a redes en sectores como defensa, energía y comunicaciones.

¿Qué se expuso en la violación?

Entre marzo y diciembre de 2024, el grupo de hackers exfiltró mapas internos y diagramas de tráfico de red, describiendo los flujos de comunicación entre las unidades de la Guardia Nacional en los 50 estados y cuatro territorios de EE. UU.

También robó credenciales de administrador y 1,462 archivos de configuración de red con acceso a 70 entidades gubernamentales de EE. UU. y de infraestructura crítica que abarcan 12 sectores, incluidos energía, comunicaciones, transporte, agua y aguas residuales, que podrían usarse para violar las redes de la Guardia Nacional y del gobierno en otros estados.

Además, se vio afectada la información personal identificable (PII) de los miembros del servicio y las ubicaciones del personal de ciberseguridad estatal en múltiples estados.

“Entre marzo y diciembre de 2024, Salt Typhoon comprometió extensamente la red de la Guardia Nacional del Ejército de un estado de EE. UU. y, entre otras cosas, recopiló su configuración de red y su tráfico de datos con las redes de sus contrapartes en cada otro estado de EE. UU. y al menos cuatro territorios de EE. UU., según un informe del DOD”, dice el memo.

“Estos datos también incluían las credenciales de administrador de estas redes y diagramas de red, que podrían usarse para facilitar futuros hacks de Salt Typhoon de estas unidades.”

Según el memo, Salt Typhoon tiene un historial de usar topologías de red robadas y datos de configuración para violar agencias gubernamentales de EE. UU. y sistemas de infraestructura crítica.

“Salt Typhoon ha utilizado anteriormente archivos de configuración de red exfiltrados para habilitar intrusiones cibernéticas en otros lugares. Entre enero y marzo de 2024, Salt Typhoon exfiltró archivos de configuración asociados con otras entidades gubernamentales de EE. UU. y de infraestructura crítica, incluidas al menos dos agencias gubernamentales estatales de EE. UU. Al menos uno de estos archivos luego informó sobre su compromiso de un dispositivo vulnerable en la red de otra agencia gubernamental de EE. UU.”, agregó el memo.

¿Por qué es importante?

Salt Typhoon no es nuevo; ha violado anteriormente importantes empresas de telecomunicaciones de EE. UU., incluidas AT&T, Verizon y T-Mobile, predominantemente a través de una vulnerabilidad de Cisco, así como sistemas satelitales como Viasat y otros proveedores de servicios tanto en EE. UU. como internacionalmente.

Reacción y respuesta del gobierno

La Oficina de la Guardia Nacional confirmó la violación, pero insiste en que las misiones no se vieron interrumpidas. Se está llevando a cabo una investigación para evaluar la magnitud total de la intrusión.

“Si bien no podemos proporcionar detalles específicos sobre el ataque o nuestra respuesta, podemos decir que este ataque no ha impedido que la Guardia Nacional cumpla con las misiones estatales o federales asignadas, y que la NGB continúa investigando la intrusión para determinar su alcance total”, dijo un portavoz de la Oficina de la Guardia Nacional.

Además, la CISA, el DHS y el Pentágono están coordinando esfuerzos para contener la violación y están considerando medidas de seguridad mejoradas, incluidas cortafuegos más robustos, mejor cifrado, controles de acceso más estrictos y una implementación más amplia de la arquitectura de Zero Trust.

Mientras tanto, un portavoz de la embajada de China en Washington no negó la campaña de hacking, pero argumentó que EE. UU. no ha producido pruebas concretas que conecten a China con los ciberataques de Salt Typhoon.

“Los ciberataques son una amenaza común que enfrentan todos los países, incluido China”, dijo el portavoz, añadiendo que EE. UU. “no ha podido producir evidencia concluyente y confiable de que el ‘Salt Typhoon’ esté vinculado al gobierno chino.”