Google advierte por grupo de ciberespionaje ligado al Gobierno Chino que estaría operando en Chile e implementa medidas para neutralizar la amenaza

Pocos días antes de que los portales se llenaran de noticias sobre el cable submarino de fibra óptica que China Mobile quiso construir entre Concón y Hong Kong, Google Threat Intelligence Group (GTIG) junto a la filial de ciberseguridad Manidant –parte de Google Cloud– intervino para desmantelar una campaña de espionaje dirigida a organizaciones gubernamentales y de telecomunicaciones en “docenas de países de cuatro continentes”.

A través de un informe, difundido el 25 de febrero de este año, Google informó que “el actor de amenazas, UNC2814, es un presunto grupo de espionaje con nexo en la República Popular China, al que CTIG ha rastreado desde 2017”.

Según la estadounidense, el grupo de hackers tiene un largo historial de ataques a gobiernos internacionales y organizaciones globales de telecomunicaciones en África, Asia, América, al igual que confirmaron intrusiones en 42 países.

En el caso de Chile, este es uno de los países donde hay evidencia o sospecha de ataques. La subsidiaria local del conglomerado Alphabet Inc. confirmó este reporte, confirmando que es parte del monitoreo continuo que hace la tecnológica a sus instalaciones y servicios.

Según el Diario Financiero, como esta alerta coincidió con la denuncia de la Embajada de Estados Unidos en Chile, a cargo de Brandon Judd, de que se habían vulnerado las telecomunicaciones de nuestro país y que la filtración afectó una compañía constructora.

Aunque el medio citado consultó a la delegación norteamericana, la entidad no se refirió al reporte y aseguraron que como norma, “la Embajada no proporciona detalles sobre reuniones que sus diplomáticos sostienen”.

En el caso de la embajada de China en Santiago, esta se negó a entregar oficialmente una opinión, pero desde DF aseguran que fuentes diplomáticas de Beijing en Chile dijeron que “hay ciberataques de origen estadounidense por todo el mundo, sin ninguna explicación o declaración del país norteamericano”.

Sobre el reporte de Google y el grupo de hackers, la embajada aseguró no tener responsabilidad de responder. Por su parte, el ahora saliente subsecretario de Telecomunicaciones, Claudio Araya, dijo no conocer el informe.

Cómo actúa UNC2814 y la respuesta de Google para enfrentarlos

Según la información de Google, el grupo de hackers utilizaba llamadas a la API –interfaz de programación de aplicaciones– para comunicarse con otras aplicaciones de software de servicios como las de infraestructura de comando y control.

Esta supone ser una táctica para camuflar “su tráfico malicioso como benigno”, la cual es una estrategia “común” que utilizan los actores de amenazas para mejorar “el sigilo de sus intrusiones”.

Esto porque, a diferencia de aprovechar una debilidad o fallo de seguridad, los atacantes se basan en productos alojados en la nube para funcionar correctamente “y hacer que su tráfico malicioso parezca legítimo”, explicó la compañía.

La empresa tecnológica estadounidense señaló que para hacer frente a esta problemática, cancelaron todos los proyectos de Google Cloud controlados por UNC2814, “para cortar así su acceso persistente a los entornos comprometidos”.

Además, informaron que se identificó y desactivó toda la infraestructura del grupo de hackers que conocen, así como la cuenta del grupo atacante.

No se trata de una vulnerabilidad de seguridad

Sobre cómo llegaron a infiltrarse en Google, la gigante tecnológica reconoció que el grupo chino pudo atacar no por una vulnerabilidad de seguridad en los productos de la empresa sino que, “abusa de la funcionalidad legítima”.

La investigación de Google Threat Intelligence Group evidenció que UNC2814 había afectado a 53 víctimas en 42 países de cuatro continentes e identificó infracciones sospechosas en al menos 20 países más.

Sobre el uso de estos datos –según el DF– el especialista en ciberseguridad y ciberdefensa, Juan Roa, menciona que estos grupos buscan infiltrarse en compañías que proveen servicios de telecomunicaciones para poder capturar y analizar tráficos, al igual que obtener información de carácter confidencial para acceder con ventaja a negocios o copiar avances tecnológicos.

En su opinión, es muy raro que lo que busquen sea realizar secuestros de datos con fines extorsivos. Además, señala que existen grupos parecidos en casi todos los países que tengan la capacidad de realizar guerras cibernéticas como Estados Unidos, Corea del Norte, Israel, Irán, Rusia y China.