Estados Unidos y sus socios internacionales emitieron el jueves un aviso en el que alertaban sobre la amenaza que suponen los hackers respaldados por China, que utilizan redes en línea de dispositivos comprometidos para atacar a gobiernos y organizaciones.
"Estas redes están compuestas principalmente por routers de pequeñas oficinas y oficinas domésticas (SOHO) que han sido comprometidos, así como por... dispositivos inteligentes", se lee en el aviso conjunto publicado el 23 de abril por la Agencia de Seguridad Cibernética y de Infraestructuras (CISA).
La alerta de la CISA se emitió conjuntamente con el Centro Nacional de Ciberseguridad del Reino Unido (NCSC-UK) y agencias de Australia, Canadá, Alemania, Japón, los Países Bajos, Nueva Zelanda, España y Suecia.
"El NCSC cree que la mayoría de los actores maliciosos vinculados a China están utilizando estas redes, que se han creado múltiples redes encubiertas que se actualizan constantemente, y que una sola red encubierta podría estar siendo utilizada por múltiples actores", señala el aviso.
Historias relacionadas
Las redes encubiertas constituyen una "forma económica, de bajo riesgo y negable" de conectarse a través de Internet, al tiempo que ocultan el origen y la autoría de las actividades maliciosas. Grupos de hackers patrocinados por el Estado chino han utilizado este tipo de redes, con infraestructuras comprometidas, contra diversos objetivos.
Por ejemplo, un actor malicioso respaldado por China, Flax Typhoon, utilizó una red encubierta para llevar a cabo ciberespionaje. Otro grupo de hackers chino, Volt Typhoon, la utilizó para preposicionar capacidades ofensivas contra infraestructuras nacionales críticas, lo que permitió a los hackers atacar a su objetivo cuando quisieran.
Una red de dispositivos comprometidos denominada Raptor Train, que en 2024 contaba con más de 200,000 dispositivos a nivel mundial dentro de su red, estaba bajo la gestión de una empresa china, según el aviso. El FBI consideró que esta empresa era responsable de actividades de piratería informática vinculadas a Flax Typhoon.
El aviso se produce en un momento en que la administración Trump está tomando medidas enérgicas contra las posibles amenazas a la seguridad nacional que plantean los dispositivos chinos.
El mes pasado, la Comisión Federal de Comunicaciones (FCC) prohibió la importación de todos los routers comerciales de fabricación extranjera, una medida dirigida a marcas vinculadas a China que presentaban riesgos de seguridad.
La decisión se tomó a raíz de un informe publicado por un organismo interinstitucional del poder ejecutivo, en el que se afirmaba que permitir que los routers extranjeros dominaran el mercado estadounidense generaba "riesgos económicos, de seguridad nacional y de ciberseguridad".
El 5 de marzo, el experto en ciberseguridad Robert Joyce declaró ante el Congreso que la empresa china TP-Link ha acaparado más del 60 % del mercado minorista de routers en Estados Unidos.
La empresa desestimó esta conclusión, afirmando que solo representan alrededor del 37 %.
Dispositivos vulnerables
En el aviso de la CISA, las agencias señalaron que, si bien las redes encubiertas incluyen principalmente routers SOHO comprometidos, los hackers pueden utilizar cualquier dispositivo vulnerable de la infraestructura de una organización, lo que puede explotarse a gran escala.Historias relacionadas
"Raptor Train estaba compuesto por miles de routers SOHO y dispositivos IoT, como cámaras web y grabadoras de vídeo, así como cortafuegos y dispositivos de almacenamiento conectado a la red (NAS). La botnet KV utilizada por Volt Typhoon estaba compuesta principalmente por routers vulnerables de Cisco y NetGear".
El 8 de abril, la FCC anunció que quería prohibir a todos los laboratorios chinos realizar pruebas de dispositivos electrónicos, como cámaras y teléfonos inteligentes, para su uso en Estados Unidos. Según la agencia, una parte significativa de todos los productos electrónicos de Estados Unidos se prueba en laboratorios chinos.
El 9 de abril, la FCC publicó un aviso en el que destacaba las preocupaciones de seguridad sobre las empresas de telecomunicaciones vinculadas a China que operan centros de datos en Estados Unidos.
El informe de Evaluación Anual de Amenazas de 2026 de la Comunidad de Inteligencia de EE. UU. advirtió que China es la "amenaza cibernética más activa y persistente para el gobierno de EE. UU., el sector privado y las redes de infraestructuras críticas".
Según el informe, China, así como actores maliciosos de Rusia, Irán, Corea del Norte y otros grupos de ransomware, "tienen la capacidad de preparar o ejecutar ataques disruptivos y destructivos contra la infraestructura crítica de EE. UU. y otros objetivos. Siguen invirtiendo recursos en operaciones para comprometer los sistemas estadounidenses y los recursos informáticos globales fundamentales".
Con información de Jill McLaughlin.
