Las máscaras han caído: la NSA acusada de ciberespionaje durante años contra una instalación estratégica china
Hilos invisibles de control llegaban hasta el corazón de la infraestructura científica.
En los últimos años el ciberespacio se ha convertido en una arena de conflictos encubiertos, donde las acciones de algunos estados pueden afectar directamente a institutos científicos y tecnológicos de otros. Recientemente se dio a conocer una operación cibernética de gran envergadura y prolongada, dirigida contra uno de los principales institutos científicos de China —el Centro Nacional de Tiempo y Frecuencia. Según el análisis técnico realizado por el Centro Nacional de Respuesta a Incidentes Informáticos de China (CNCERT), tras este ataque estaría la Agencia de Seguridad Nacional de EE. UU. (NSA).
Desde marzo de 2022 la NSA inició una vigilancia dirigida sobre el personal del centro aprovechando vulnerabilidades en una marca popular de teléfonos inteligentes del extranjero. Al principio los atacantes sustraían datos personales: contactos, mensajes, geolocalización, fotografías. Ya en septiembre de ese mismo año lograron obtener las credenciales del administrador de red y, utilizándolas, acceder a la red corporativa.
En abril de 2023 comenzó la fase de intrusión de reconocimiento activa: los atacantes se conectaban de forma regular al dispositivo infectado, estudiaban la arquitectura de la infraestructura interna y preparaban el terreno para una penetración más profunda.
En agosto de 2023 la operación pasó a una nueva etapa: en los sistemas objetivos se empezaron a instalar programas maliciosos especializados. En total, durante el ataque se desplegaron 42 componentes, agrupados en tres funciones: afianzamiento en el sistema, construcción de canales cifrados de comunicación y robo de datos.
Los investigadores prestaron especial atención a la construcción modular del marco malicioso "New_Dsz_Implant", que muestra una clara semejanza con la plataforma de la NSA conocida anteriormente como "DanderSpritz". Al mismo tiempo, los atacantes reforzaron considerablemente los mecanismos de camuflaje: utilizaron certificados digitales legítimos, imitaron procesos del sistema Windows e implementaron un cifrado de tráfico multinivel, incluida una esquema anidado de cuatro capas.
Mostraron especial sofisticación en la ocultación. Los módulos maliciosos se ejecutaban mediante DLL Hijacking, eliminaban huellas de su actividad de la memoria y reaccionaban ante cualquier cambio en el entorno —desde un reinicio hasta una actualización del software.
Para controlar los ataques se emplearon servidores ubicados fuera de Estados Unidos, y la comunicación con ellos se realizaba a través de nodos anonimizados. A pesar del alto nivel de preparación técnica, los expertos observaron una disminución en el ritmo de innovación en las tácticas de la NSA: muchos métodos resultaron ser adaptaciones de soluciones antiguas, lo que podría indicar crecientes dificultades para eludir los sistemas de protección modernos.
La etapa clave tuvo lugar entre mayo y junio de 2024, cuando los atacantes intentaron pasar del reconocimiento a la afectación directa de sistemas críticos, incluida la infraestructura terrestre de alta precisión para tiempo y navegación. Aunque no se logró impedir un avance a gran escala, el hecho mismo de que se dirigieran a tales objetivos subraya el carácter estratégico de la operación.
Este incidente demostró de forma evidente que incluso los institutos científicos de alta tecnología son vulnerables ante operaciones cibernéticas encubiertas y bien planificadas, y que la protección de la infraestructura crítica requiere no solo soluciones técnicas sino una vigilancia constante a nivel estatal.
¿Estás cansado de que Internet sepa todo sobre ti?