Un ejército de hackers chinos está infiltrando servicios críticos de la infraestructura de Estados Unidos
Piratas informáticos afiliados al Ejército Popular de Liberación han penetrado en los sistemas informáticos de unas dos docenas de entidades críticas
Las intrusiones forman parte de un esfuerzo más amplio por desarrollar formas de sembrar el pánico y el caos o de entorpecer la logística en caso de conflicto entre Estados Unidos y China en el Pacífico, señalaron.
Entre las víctimas se encuentran una empresa de suministro de agua en Hawai, un importante puerto de la Costa Oeste y al menos un oleoducto y gasoducto, según declararon a The Washington Post personas familiarizadas con los incidentes. Los piratas informáticos también intentaron penetrar en el operador de la red eléctrica de Texas, que funciona independientemente de los sistemas eléctricos del resto del país.
Varias entidades fuera de Estados Unidos, incluidas empresas eléctricas, también han sido víctimas de los piratas informáticos, dijeron las personas, que hablaron bajo condición de anonimato debido a lo delicado del asunto.
Ninguna de las intrusiones afectó a los sistemas de control industrial que operan bombas, pistones o cualquier función crítica, ni causó una interrupción, dijeron los funcionarios estadounidenses. Pero señalaron que la atención prestada a Hawai, que alberga la Flota del Pacífico, y al menos a un puerto, así como a centros logísticos, sugiere que el ejército chino quiere tener la capacidad de complicar los esfuerzos de Estados Unidos para enviar tropas y equipos a la región si estalla un conflicto sobre Taiwán.
Estos detalles no revelados anteriormente ayudan a completar la imagen de una campaña cibernética denominada Volt Typhoon, detectada por primera vez hace aproximadamente un año por el gobierno estadounidense, mientras Estados Unidos y China luchan por estabilizar una relación más antagónica ahora de lo que lo ha sido en décadas. Los mandos militares chinos se negaron durante más de un año a hablar con sus homólogos estadounidenses, incluso cuando los aviones de combate chinos interceptaron de cerca aviones espía estadounidenses en el Pacífico occidental. El Presidente Biden y el Presidente chino Xi Jinping acordaron el mes pasado restablecer esos canales de comunicación.
“Está muy claro que los intentos chinos de poner en peligro las infraestructuras críticas son, en parte, para posicionarse previamente y poder interrumpir o destruir esas infraestructuras críticas en caso de conflicto, ya sea para impedir que Estados Unidos pueda proyectar su poder en Asia o para causar el caos social dentro de Estados Unidos, para afectar a nuestra toma de decisiones en torno a una crisis”, dijo Brandon Wales, director ejecutivo de la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) del Departamento de Seguridad Nacional. “Esto supone un cambio significativo con respecto a la ciberactividad china de hace siete o diez años, que se centraba principalmente en el espionaje político y económico”.
Morgan Adamski, director del Centro de Colaboración de Ciberseguridad de la Agencia de Seguridad Nacional, confirmó en un correo electrónico que la actividad de Volt Typhoon “parece estar centrada en objetivos dentro de la región Indo-Pacífica, para incluir Hawai”.
Los hackers a menudo trataban de ocultar sus huellas enhebrando sus ataques a través de dispositivos inocuos como routers domésticos o de oficina antes de llegar a sus víctimas, dijeron las autoridades. Un objetivo clave era robar credenciales de empleados que pudieran utilizar para volver, haciéndose pasar por usuarios normales. Pero algunos de sus métodos de entrada no se han determinado.
Los hackers buscan una forma de entrar y permanecer dentro sin ser detectados, dijo Joe McReynolds, miembro de estudios sobre seguridad en China de la Fundación Jamestown, un think tank centrado en cuestiones de seguridad. “Intentas construir túneles en la infraestructura de tus enemigos que luego puedas utilizar para atacar. Hasta entonces, te mantienes al acecho, llevas a cabo tareas de reconocimiento, averiguas si puedes introducirte en los sistemas de control industrial o en empresas u objetivos más críticos. Y un día, si recibes la orden de arriba, pasas del reconocimiento al ataque”.
Las revelaciones a The Post se basan en la evaluación anual de amenazas realizada en febrero por la Oficina del Director de Inteligencia Nacional, que advirtió de que China “casi con toda seguridad es capaz” de lanzar ciberataques que perturbarían las infraestructuras críticas de Estados Unidos, incluidos los oleoductos y gasoductos y los sistemas ferroviarios.
“Si Beijing temiera la inminencia de un conflicto de gran envergadura con Estados Unidos, es casi seguro que consideraría la posibilidad de emprender operaciones cibernéticas agresivas contra las infraestructuras críticas y los activos militares de Estados Unidos en todo el mundo”, afirmaba la evaluación.
Algunas de las víctimas comprometidas por Volt Typhoon eran empresas y organizaciones más pequeñas de diversos sectores y “no necesariamente las que tendrían una conexión relevante inmediata con una función crítica de la que dependen muchos estadounidenses”, dijo Eric Goldstein, subdirector ejecutivo de CISA. Es posible que se trate de “ataques oportunistas... basados en los lugares a los que pueden acceder”, una forma de introducirse en una cadena de suministro con la esperanza de llegar algún día a clientes más importantes y críticos, explicó.
Los oficiales militares chinos han descrito en documentos internos cómo podrían utilizar las herramientas cibernéticas o la “guerra de redes” en un conflicto, dijo McReynolds, que ha visto algunos de los escritos. Según él, los estrategas militares hablan de sincronizar los ataques aéreos y con misiles con la interrupción de las redes de mando y control, las infraestructuras críticas, las redes de satélites y los sistemas logísticos militares.
Han hablado de la aplicación de estas herramientas en invasiones anfibias, dijo. “Es algo que consideran claramente relevante en un escenario como el de Taiwán”, dijo, “aunque no dicen explícitamente que ‘así es como vamos a tomar Taiwán’”.
Esta no es ni mucho menos la primera incursión de China en el pirateo de infraestructuras críticas. En 2012, una empresa canadiense, Telvent, cuyo software operaba a distancia importantes gasoductos de gas natural en Norteamérica, notificó a sus clientes que un sofisticado pirata informático había violado sus cortafuegos y robado datos relativos a sistemas de control industrial. La empresa de ciberseguridad Mandiant rastreó la brecha hasta un prolífico grupo de piratas informáticos del EPL, la Unidad 61.398. Cinco miembros de esta unidad fueron acusados en 2014 de piratear empresas estadounidenses.
En aquel momento, el gobierno estadounidense no estaba seguro de si el objetivo de China era recopilar información o posicionarse previamente para perturbar el sistema. Hoy, basándose en la recopilación de inteligencia y en el hecho de que las instalaciones atacadas tienen poca inteligencia de valor político o económico, los funcionarios estadounidenses dicen que está claro que la única razón para penetrar en ellas es poder llevar a cabo acciones disruptivas o destructivas más tarde.
El investigador de amenazas Jonathan Condra, de la empresa de seguridad Recorded Future -que durante el verano descubrió el Volt Typhoon sondeando la red de Texas-, dijo que el secretismo con el que los chinos han llevado a cabo los ataques contradice cualquier idea de que quisieran que Estados Unidos conociera sus capacidades.
Los piratas informáticos “lo hacían de forma mucho más sigilosa que si trataran de ser descubiertos”, afirmó.
El gobierno estadounidense lleva tiempo intentando mejorar la coordinación con el sector privado, propietario de la mayor parte de las infraestructuras críticas del país, y con las empresas tecnológicas que pueden detectar ciberamenazas. Empresas como Microsoft comparten información anónima sobre las tácticas de los adversarios, los indicadores de que un sistema ha sido comprometido y las mitigaciones, dijo Goldstein de CISA. Por lo general, estas empresas no ven la presencia del hacker en las redes de sus clientes, sino que la detectan a través de las comunicaciones con los servidores que el hacker utiliza para dirigir el ataque, explica.
En algunos casos, las propias víctimas solicitan ayuda a CISA. En otros, dijo Goldstein, la CISA es alertada por un proveedor de software o comunicaciones sobre una víctima y el gobierno debe solicitar una orden judicial para obligar al proveedor a revelar la identidad de la víctima.
En mayo, Microsoft declaró que había descubierto que Volt Typhoon se había infiltrado en infraestructuras críticas de Guam y otros lugares, enumerando una serie de sectores. Entre ellos figuraban empresas de telecomunicaciones, según personas familiarizadas con el asunto. Según los analistas, los hackeos son especialmente preocupantes porque Guam es el territorio estadounidense más cercano al disputado estrecho de Taiwán.
Las intrusiones en sectores como el agua y los sistemas energéticos se producen en un momento en que el gobierno de Biden ha tratado de reforzar la capacidad de defensa de las industrias mediante la promulgación de normas obligatorias de ciberseguridad. En el verano de 2021, la administración puso en marcha la primera normativa sobre ciberseguridad en oleoductos y gasoductos. En marzo, la Agencia de Protección Medioambiental anunció la obligación de los estados de informar sobre las ciberamenazas en sus auditorías de los sistemas públicos de abastecimiento de agua. Poco después, sin embargo, tres estados demandaron a la administración, acusándola de extralimitación normativa.
La EPA retiró la norma y ha pedido al Congreso que adopte un reglamento. Mientras tanto, la agencia debe confiar en que los estados informen voluntariamente de las amenazas.
En un aviso conjunto publicado en mayo, la alianza de inteligencia Five Eyes (Cinco Ojos), formada por Estados Unidos, Gran Bretaña, Canadá, Australia y Nueva Zelanda, ofreció consejos sobre cómo cazar a los intrusos. Uno de los retos es la táctica de los piratas informáticos de eludir la detección de cortafuegos y otras defensas utilizando herramientas legítimas para que su presencia se confunda con la actividad normal de la red. La técnica se denomina “vivir del cuento”.
“Los dos retos más difíciles con estas técnicas son determinar que se ha producido un compromiso y, una vez detectado, tener la confianza de que el actor fue desalojado”, dijo Adamski de la NSA, cuyo Centro de Colaboración de Ciberseguridad coordina con la industria privada.
La NSA y otras agencias recomiendan el restablecimiento masivo de contraseñas y una mejor supervisión de las cuentas con privilegios elevados en la red. También han instado a las empresas a exigir formas más seguras de autenticación multifactor, como tokens de hardware, en lugar de confiar en un mensaje de texto al teléfono del usuario, que puede ser interceptado por gobiernos extranjeros.
A pesar del mayor escrutinio suscitado por el aviso de mayo, los piratas informáticos persistieron en su búsqueda de nuevos objetivos.
En agosto, según Recorded Future, los hackers intentaron establecer conexiones desde infraestructuras que habían sido utilizadas por Volt Typhoon a dominios o subdominios de Internet utilizados por la Comisión de Servicios Públicos de Texas y el Consejo de Fiabilidad Eléctrica de Texas, que gestiona la red eléctrica de ese estado. Aunque no hay pruebas de que los intentos consiguieran penetrar en el sistema, la operación pone de relieve el tipo de objetivos que interesan a los militares chinos. Las dos agencias de Texas declinaron responder a las preguntas de The Post sobre los incidentes.
El Consejo de Fiabilidad dijo que trabaja en estrecha colaboración con las agencias federales y grupos de la industria y que tiene sistemas redundantes y acceso controlado como parte de una “defensa en capas”.
En las semanas previas a la reunión Biden-Xi del mes pasado, funcionarios de la NSA que hablaban en conferencias de la industria repitieron el llamamiento al sector privado para que compartiera información sobre intentos de pirateo. La NSA puede espiar las redes de sus adversarios en el extranjero, mientras que las empresas estadounidenses tienen visibilidad de las redes corporativas nacionales. Juntos, la industria y el gobierno pueden tener una imagen más completa de los objetivos, tácticas y motivos de los atacantes, afirman los funcionarios estadounidenses.
China “tiene un arsenal de vulnerabilidades estratégicas”, o fallos de seguridad no revelados que puede utilizar en ataques furtivos, dijo Adamski el mes pasado en la conferencia CyberWarCon en Washington. “Se trata de una lucha por nuestras infraestructuras críticas. Tenemos que ponérselo más difícil”.
El tema de las intrusiones cibernéticas chinas en infraestructuras críticas estaba en una lista propuesta de temas de conversación para plantear en el encuentro de Biden con Xi, según personas familiarizadas con el asunto, pero no surgió en la reunión de cuatro horas.