Todos los dispositivos Android bajo control absoluto: una filtración revela cómo los servicios secretos leen Telegram y aplicaciones de mensajería chinas

Los hackers hicieron pública la mayor filtración de datos en la historia de la ciberseguridad china — de los archivos de la empresa Knownsec, estrechamente vinculada con las estructuras estatales de la República Popular China (RPC). Los materiales publicados, cuyo volumen supera los 12 000 documentos secretos, revelaron detalles del programa nacional de ciberinteligencia, herramientas internas de ataque y listas globales de objetivos que abarcan más de veinte países. El suceso provocó una fuerte reacción en la comunidad internacional de expertos, ya que por primera vez se revela a tan gran escala el circuito interno de la infraestructura china de operaciones en red.

La filtración se detectó por primera vez el 2 de noviembre de 2025. Los archivos aparecieron en GitHub, desde donde posteriormente fueron eliminados por la administración de la plataforma por violar los términos de uso; sin embargo, las copias ya se han difundido en foros de investigación y en archivos privados de especialistas en ciberseguridad. Según los materiales publicados, resultaron comprometidos informes internos, el código fuente de programas especializados y hojas de cálculo que reflejan la interacción de la empresa con estructuras gubernamentales de China. Entre los documentos hay descripciones de operaciones en red contra objetivos extranjeros, así como credenciales internas y registros de facturación, lo que indica que los atacantes tuvieron acceso a la infraestructura corporativa de Knownsec.

La empresa fue fundada en 2007 y en 2015 recibió importantes inversiones de Tencent. Antes del incidente contaba con más de 900 empleados y las filiales regionales operaban en todo el país. Knownsec es conocida como uno de los pioneros en conceptos de supervisión en la nube y defensa distribuida en China. Entre sus clientes figuran instituciones financieras, organizaciones gubernamentales y grandes plataformas de Internet. Precisamente por ello, la posición de la empresa en el ecosistema chino de ciberseguridad hace que el incidente sea especialmente revelador: el impacto no afectó solo a un contratista aislado, sino también al modelo completo de cooperación entre contratistas privados y proyectos estatales de ciberinteligencia.

El contenido de los archivos filtrados indica que no se trata de material comercial, sino de infraestructura estratégica. La parte más notable son las tablas con objetivos globales, que incluyen activos de Japón, Vietnam, India, Indonesia, Nigeria, Reino Unido y otros países. En una de las tablas se enumeran 80 objetivos extranjeros contra los cuales, según los autores del archivo, se llevaron a cabo operaciones exitosas. Entre los ejemplos mencionados figuran 95 gigabytes de datos migratorios robados de India, 3 terabytes de registros telefónicos del operador surcoreano LG U Plus y 459 gigabytes de documentación vial obtenida de Taiwán. En conjunto, estos materiales muestran un vínculo inseparable de Knownsec con operaciones destinadas a la recolección de inteligencia fuera de China.

Junto con los datos objetivos, en el archivo se encontraron descripciones de medios técnicos utilizados en los ataques. La empresa disponía de conjuntos de troyanos de acceso remoto multifunción (Remote Access Trojan, RAT) diseñados para infiltrarse en sistemas que ejecutan Linux, Windows, macOS, iOS y Android. Destaca especialmente el componente móvil para Android, capaz de extraer el historial de mensajes de mensajeros chinos y de Telegram. También llamaron la atención las menciones a dispositivos hardware empleados en operaciones de campo: por ejemplo, una batería externa modificada que carga los datos de forma sigilosa en el servidor de los atacantes al conectarse al ordenador de la víctima. Estos datos permiten suponer que Knownsec participó no solo en la parte analítica, sino también en la parte práctica de operaciones ofensivas.

El contenido de la filtración confirma que la empresa tenía su propio sistema de inteligencia de correo Un-Mail, destinado a extraer y analizar correspondencia. En los materiales adjuntos también se mencionan servicios internos de gestión de personal, informes sobre operaciones financieras y esquemas de proyectos para la cooperación con diferentes dependencias de los organismos de seguridad chinos. Para los investigadores, esto supuso una confirmación directa de la hipótesis de que los conocidos proveedores chinos de ciberseguridad pueden desempeñar simultáneamente tareas estatales en el ámbito de las ciberoperaciones.

Un portavoz del Ministerio de Relaciones Exteriores de la RPC declaró a Mrxn que no tienen constancia de ninguna filtración de datos procedente de Knownsec, y subrayó que China está en contra de todas las formas de ataques en la red. Esa formulación es evasiva y deja espacio para la interpretación, ya que no niega el posible papel de contratistas privados en operaciones bajo control estatal. En el contexto de la situación internacional actual, esta respuesta se interpreta como una demostración de la postura de China: considera las ciberoperaciones no como un delito, sino como una herramienta de seguridad nacional que no debe ser objeto de discusión pública.

Ante lo sucedido, los analistas señalan que la filtración podría convertirse en el caso más significativo de exposición de la arquitectura interna de las ciberoperaciones chinas en los últimos años, superando en escala las publicaciones sobre estructuras similares de grupos APT. Expertos internacionales ya están examinando los archivos para precisar métodos de ataque e identificar componentes comunes con campañas conocidas, incluidas aquellas dirigidas contra infraestructuras en Asia y Europa. Si se confirma la autenticidad de todos los archivos, el incidente podría cambiar la comprensión de cómo se construye y gestiona el sistema estatal de ciberinteligencia de China.