Volt Typhoon, grupo de Hackers respaldado por el Estado chino, una amenaza cada vez mayor

Los ciberataques disruptivos vinculados a la República Popular China y sus agencias de espionaje son una amenaza creciente, afirman los analistas. La banda de hackers patrocinada por el estado chino Volt Typhoon es cada vez más preocupante. Las actividades de la banda de ciberespionaje han llevado a la alianza mundial de inteligencia conocida como Five Eyes, formada por Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos, a emitir dos advertencias con un mes de diferencia en el primer trimestre de 2024, instando a los propietarios y operadores de infraestructuras críticas de todo el mundo a proteger sus instalaciones.

“El objetivo es claro: afectar la infraestructura crítica de todos los países”, dijo el 8 de mayo a Diálogo Erich Zschaeck, consultor chileno experto en ciberseguridad. “Esto afectaría en nuestra región la generación de energía, agua, servicios públicos, telecomunicaciones; y todos los servicios que puedan impactar no solo a las empresas sino también a la población”.

Volt Typhoon navega bajo muchos nombres. También se le conoce como Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite e Insidious Taurus. Este actor malicioso normalmente se enfoca en el espionaje y la recopilación de información, informó un reporte de Microsoft.

Volt Typhoon utiliza software malicioso para penetrar por Internet, explotando vulnerabilidades como contraseñas débiles, inicios de sesiones predeterminadas de fábrica y dispositivos no actualizados periódicamente. El programa toma el control de dispositivos de Internet vulnerables como enrutadores y cámaras de seguridad. Se oculta y establece una cabeza de playa para lanzar futuros ataques a placer.

Desde que analistas de seguridad lo identificaron públicamente en mayo de 2023, Volt Typhoon ha comprometido miles de dispositivos en todo el mundo, aunque es probable que el grupo apunta a la infraestructura desde mediados de 2021 y posiblemente mucho antes, informo Microsoft. “Microsoft evalúa con confianza moderada que esta campaña Volt Typhoon persigue el desarrollo de capacidades que podrían interrupir la infraestructura de comunicaciones críticas entre los EE. UU. y regiones de Asia durante crisis futuras”.

“Muchas infraestructuras críticas en el hemisferio dependen de las conexiones y infraestructuras en los golfos o en el Canal de Panamá, que están justamente en esos países que abren las puertas al mundo”, agregó Zschaeck.

Aunque China reconoció a Volt Typhoon como una organización cibercriminal, negó la implicación del país y dijo que se trataba de “un grupo internacional de ransomware”.

Ante la creciente amenaza de ciberataques, los EE. UU. promueven entrenamiento de ciberseguridad y ciberdefensa para sus aliados. Las capacitaciones son incorporadas de manera recurrente en ejercicios clave, como los que realiza el Comando Sur de los EE. UU. (SOUTHCOM), con las fuerzas de seguridad de Latinoamérica y el Caribe.

A fines de abril, una delegación del Ciber Comando de los EE. UU. (CYBERCOM), primera línea de defensa estadounidense contra ataques cibernéticos, visitó la Junta Interamericana de Defensa (JID) en Washington, DC, para analizar el programa de Defensa Cibernética de la Junta y explorar oportunidades de colaboración. La visita subraya el compromiso de la Junta con la cooperación internacional y con CYBERCOM, desempeñando un papel clave en el ámbito cibernético global, publicó la JID el 29 de abril.

Operativamente hay ejemplos de cooperación constante, como la realización del ejercicio militar multinacional CENTAM Guardián 2024, en Honduras, realizado del 1.º al 12 de abril, donde hubo muchos módulos dedicado a ciberataques, para perfeccionar el uso de herramientas digitales para capturar información, explorar, manejar y contrarrestar ciberamenazas o ciberataques en desarrollo. Durante el ejercicio, militares de El Salvador, Guatemala y Honduras, fueron entrenados por expertos en ciberseguridad; específicamente de la 189.ª Ala de Transporte Aéreo de la Guardia Nacional Aérea de Arkansas y de SOUTHCOM.

En julio de 2023, los participantes de Tradewinds, patrocinado por SOUTHCOM, un ejercicio combinado conjunto de entrenamiento centrado en el Caribe y diseñado para fortalecer las alianzas y la interoperabilidad, llevado a cabo en Georgetown, Guyana en esta iteración, profundizaron en componentes de ciberseguridad. En la versión 2024, realizada en Barbados, del 4 al 16 de mayo, los participantes también se enfrentaron a diversos ejercicios de ciberseguridad, reportó la revista argentina Espacio Aéreo.

“Un punto clave que hace mucho más resiliente a ciberataques a las Fuerzas Armadas de los EE. UU., en comparación con los países de nuestra región, no es tanto su capacidad de armamento, sino su capacidad de inteligencia”, dijo Zschaeck “En Latinoamérica hay algunos países mejor preparados que otros. El problema es que no implementamos la seguridad en todo lo que hacemos, pues eso implica un costo que no todas las organizaciones y países están dispuestos a aceptar”.

“Para los profesionales de la ciberseguridad y la sociedad en general, ataques como Volt Typhoon pueden representar una enorme amenaza geopolítica para la ciberseguridad”, dijo a Infobae Richard Forno, profesor de Ciencias de la Computación e Ingeniería Eléctrica de la Universidad de Maryland. “Son un recordatorio para que todos supervisen lo que sucede en el mundo, y consideren cómo los acontecimientos actuales pueden afectar la confidencialidad, integridad y disponibilidad de todo lo digital”.

“Volt Typhoon no va a ser el primero y no va a ser el último. En los próximos años esto se va a poner mucho más complejo, no solo por parte de China, pues Rusia saldrá con ataques a esta escala”, advirtió Zschaeck. “Debemos ser resilientes y capaces de aislarnos tecnológicamente, pues los ataques van a venir. El escenario pinta para eso”.