Tres vulnerabilidades zero-day y dos años de silencio de Knownsec: hackers burlan la protección del "buque insignia" de la ciberseguridad china

La filtración de datos de la empresa china Knownsec, conocida como uno de los buques insignia de la ciberseguridad nacional, se convirtió en un golpe de imagen y en un reconocimiento inesperado de sus puntos débiles. A comienzos de noviembre, desconocidos publicaron en la red un conjunto de documentos internos de la empresa y, al mismo tiempo, revelaron que el «rey de las vulnerabilidades» no logró proteger sus propios sistemas —los atacantes explotaron tres vulnerabilidades de día cero para infiltrar la infraestructura de Knownsec ya en 2023. La empresa describió detalladamente el incidente, demostrando una transparencia poco habitual en el sector corporativo chino, pero en torno a lo ocurrido siguen quedando muchas preguntas.

El 5 de noviembre apareció en el blog chino Mrxn's Blog una entrada sobre la «mayor filtración» de Knownsec: el autor afirmaba que se habían hecho públicos alrededor de 12 mil documentos confidenciales —desde herramientas y sistemas internos hasta listas de objetivos. Más tarde se supo que los datos habían surgido inicialmente en GitHub, desde donde fueron eliminados por violar las normas. El medio en inglés NETASKARI fue de los primeros en analizar los fragmentos disponibles: en ellos solo encontraron material promocional, listas de datos para vigilancia y el perfil corporativo —nada que apuntara a un «armamento cibernético» al nivel de hackers estatales. Sin embargo, el periodista señaló que Knownsec sigue siendo una empresa capaz, por encargo de clientes, de desarrollar herramientas para infiltrar sistemas ajenos y, posiblemente, llevar a cabo operaciones ofensivas.

Además, ninguno de los investigadores, incluidos los periodistas de NETASKARI y Natto Team, llegó a ver el archivo completo de la filtración. A pesar de ello, los medios occidentales pronto reprodujeron titulares sensacionalistas sobre la «filtración a gran escala del arsenal cibernético chino». Ante el ruido en torno a las herramientas, Natto Team decidió observar la situación desde la perspectiva de Knownsec para entender el papel de los grandes actores privados en la construcción de las capacidades cibernéticas de China.

Fundada en 2007, Knownsec está entre las empresas más influyentes y tecnológicamente potentes del sector. En 2024 el instituto de investigación RoarTalk la incluyó entre las veinte principales empresas «integrales» del mercado. Los fundadores y el actual CSO de la compañía son los legendarios «hackers patriotas» de la primera ola, que estuvieron en los orígenes del hacking chino a finales de los años 90. Destaca especialmente el CSO Zhou Jinping, apodado SuperHei: durante años ha sido líder en las clasificaciones por detección de vulnerabilidades en los principales productos informáticos del mundo, desde Microsoft hasta Tencent.

Entre los inversores de Knownsec se encuentran Baidu y Tencent, y en 2018 la empresa apareció en un cartel de Nasdaq en el marco del programa de CCTV «Marca nacional». Con más de 1.500 empleados y decenas de divisiones por todo el país, Knownsec se ha convertido desde hace tiempo en una vitrina de la industria cibernética china.

Por eso su reacción ante la filtración fue inmediata. El mismo día de la publicación la empresa emitió una notificación a clientes en la que describía detalladamente el suceso: el incidente en realidad ocurrió en agosto de 2023, cuando desconocidos explotaron tres vulnerabilidades de día cero y se infiltraron en un sistema de oficina en la nube. Se logró detener el intento de ampliar el ataque, pero la empresa no pudo determinar el volumen de lo sustraído: las técnicas de los atacantes resultaron demasiado sofisticadas.

Tras la aparición de los datos en foros de la darknet Knownsec confirmó que la filtración está relacionada con ese mismo ataque. Tras analizar los fragmentos publicados, la empresa concluyó que se trataba de listados parciales de empleados y clientes, así como de datos procedentes de su propio sistema de monitoreo de la darknet. Knownsec subrayó que no se habían sustraído cuentas de usuario, contraseñas ni datos críticos de clientes. Al mismo tiempo reconoció un desfase de dos años entre el ataque y la divulgación pública, explicando que no había visto el volumen completo de archivos robados.

En la notificación la empresa se disculpó con los clientes y señaló que, para una organización de ciberseguridad, un incidente así es «extremadamente lamentable e incómodo». También criticó a los medios por exagerar la magnitud del suceso.

Mientras tanto, la discusión sobre la filtración avivó la figura del bloguero Mrxn —el autor que desde hace más de diez años publica noticias sobre incidentes de seguridad informática y publica herramientas de pentesting en GitHub. Sus motivos siguen siendo inciertos: el deseo de derribar la reputación de Knownsec, el intento de «darle una lección a la empresa», como en el sonado caso de TCL, o la intención de obtener beneficios con información ya robada.

El incidente volvió a plantear la cuestión de qué empresas chinas son consideradas «reemplazables» y cuáles son «demasiado grandes para fracasar». En contraste, muchos recordaron el escándalo en torno a i-SOON en 2024: esa empresa nunca reconoció la filtración, desapareció del espacio público y, según las investigaciones, apenas se mantiene a flote en el negocio. Knownsec, en cambio, es una marca nacional, objeto de inversión y, según las acciones del Gobierno, una estructura que el Estado pretende apoyar.

Esto explica también el contexto internacional: ya en 2021 EE. UU. incluyó a Knownsec en la lista de «empresas militares chinas» y restringió la exportación de tecnologías hacia ella —junto con otra sola empresa cibernética, el gigante Qihoo 360. En los foros chinos lo explican de forma simple: supuestamente Knownsec representa «la mayor amenaza para el dominio de EE. UU. en el ciberespacio».

En la práctica, la filtración de 2025 muestra una paradoja: incluso los líderes del sector, que buscan vulnerabilidades en productos de todo el mundo, pueden pasar por alto una brecha crítica en sus propios sistemas —y enfrentarse a las consecuencias cuando incidentes olvidados resucitan dos años después.