Cursos de Cisco: «Nuestras puertas están abiertas para todos». Hackers chinos: «Gracias, ya estamos dentro».

Dos especialistas chinos vinculados con el grupo de hackers Salt Typhoon podrían haber recibido formación en el programa Cisco Networking Academy —el proyecto educativo corporativo de la propia empresa cuyos dispositivos este grupo posteriormente atacó masivamente. Esa es la conclusión del investigador de SentinelOne y del centro analítico Atlantic Council, Dakota Cary, tras estudiar datos públicos sobre los vínculos de los sospechosos con empresas mencionadas en la investigación de las autoridades de Estados Unidos.

Cisco Networking Academy es un programa educativo global que durante casi tres décadas ha enseñado a estudiantes habilidades básicas en tecnologías de redes y ciberseguridad. En el sitio de la iniciativa, la empresa recalca que considera la educación «un gran igualador», que permite a cualquier persona, independientemente de su origen, adquirir competencias digitales y «forjar su destino». Esa misión resulta mucho más ambigua si se aceptan las conclusiones de Cary: parte de los graduados podría haber usado los conocimientos adquiridos no para proteger redes, sino para participar en una de las campañas de espionaje más extensas atribuidas a hackers estatales chinos.

Se trata del grupo Salt Typhoon —una subdivisión de ciberespionaje que, según las autoridades estadounidenses, estuvo detrás del compromiso de al menos nueve operadores de telecomunicaciones. Los hackers consiguieron la capacidad de rastrear en tiempo real llamadas y SMS de suscriptores estadounidenses, incluidos entonces candidatos a la presidencia y a la vicepresidencia de Estados Unidos Donald Trump y J. D. Vance, así como otros políticos. Salt Typhoon es conocido por especializarse en comprometer equipos de red, incluidos dispositivos de Cisco, el mayor fabricante mundial de equipo de redes. Las agencias estadounidenses advirtieron anteriormente que el grupo explotó activamente vulnerabilidades en productos de Cisco para robar credenciales y moverse lateralmente dentro de redes sin instalar malware clásico, que es más fácil de detectar con herramientas de defensa.

Cary investigó quiénes están detrás de las contratistas que las autoridades estadounidenses ya vincularon públicamente con la infraestructura de Salt Typhoon. En septiembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), junto con el FBI, la NSA y socios de una decena de países, emitió una recomendación en la que nombró tres empresas afiliadas al grupo: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology y Sichuan Zhixin Ruijie Network Technology. El investigador consultó registros corporativos y vio que Beijing Huanyu Tianqiong pertenece en un 45 % a un tal Qiu Daibin y en un 55 % a Yu Yang. Además, Yu posee la mitad de la participación en Sichuan Zhixin Ruijie. Solicitudes conjuntas de patentes de Qiu y Yu muestran que probablemente estuvieron involucrados no solo en la gestión, sino también en el trabajo técnico de esas firmas.

Más adelante Cary buscó menciones de esos nombres en fuentes abiertas y encontró un documento en el sitio de la Southwest Petroleum University en la provincia de Sichuán. Allí se indicaba que estudiantes con los mismos nombres —Qiu Daibin y Yu Yang— participaron en la competición Cisco Networking Academy Cup en 2012. El equipo de Qiu obtuvo el tercer puesto a nivel de China y el primero en Sichuán; el equipo de Yu quedó segundo en la provincia.

Adicionalmente, el investigador halló el perfil de un tal Qiu Daibin, procedente de Sichuán, en LinkedIn. En él se indica formación en la misma Southwest Petroleum University y en la sección «Intereses» aparece la empresa Ruijie Networks —un nombre sospechosamente parecido al de una de las firmas mencionadas en el aviso gubernamental (Sichuan Zhixin Ruijie Network Technology).

Para estimar cuán probable era que se tratara de una mera coincidencia de nombres, Cary consultó bases de datos de nombres chinos y se puso en contacto con el demógrafo Yi Fuxian, profesor de la Universidad de Wisconsin en Madison. El apellido 邱 (Qiu) por sí solo es relativamente raro —alrededor del 0,27 % de la población china—. Combinado con el nombre 代兵 (Daibin), la probabilidad de repetición disminuye todavía más. El nombre Yu Yang (余洋) es más habitual, pero el conjunto de factores —la coincidencia de ambos nombres, su aparición conjunta en documentos de la universidad, la vinculación geográfica con Sichuán y las relaciones con firmas del informe gubernamental— hace, según Cary, que la hipótesis de una casualidad sea extremadamente improbable.

WIRED intentó contactar a Qiu Daibin y a Yu Yang a través del perfil en LinkedIn y del correo electrónico que figura en el sitio de Beijing Huanyu Tianqiong, pero no obtuvo respuesta.

Al comentar las conclusiones del investigador, Cisco recordó que la Networking Academy es un «programa de habilidades para el empleo» que enseña competencias tecnológicas básicas y alfabetización digital, ayudando a millones de estudiantes a adquirir conocimientos para puestos iniciales en TI. La empresa subraya que el programa «está abierto a todos» y que desde 1997 ha llegado a más de 28 millones de estudiantes en 190 países. Cisco afirma que sigue «comprometida a ayudar a las personas de todo el mundo a obtener las habilidades digitales básicas necesarias para acceder a oportunidades profesionales en tecnología».

El programa de la academia no se limita a productos de Cisco y ofrece una formación general en tecnologías de redes; sin embargo, incluye cursos sobre hacking ético —pruebas de penetración y búsqueda de vulnerabilidades—. No está claro si Qiu y Yu participaron en esos cursos concretos, pero la mera posibilidad de que la formación corporativa pudiera servir como trampolín para ataques dirigidos a la misma empresa resulta significativa.

El propio Cary subraya que, incluso si su teoría es correcta, eso no implica que exista una vulnerabilidad o un fallo de gestión en el programa de Cisco. Más bien ilustra un problema difícil de resolver en el mercado tecnológico globalizado, donde tanto los productos como el conocimiento sobre ellos están disponibles en todo el mundo, incluidos posibles adversarios. La situación resulta especialmente irónica dado que China lleva años sustituyendo equipos de Cisco y de otros proveedores occidentales en sus redes por soluciones nacionales. «Si China realmente avanza hacia la eliminación de estos productos de sus redes, ¿a quién le sigue interesando estudiarlos?» se pregunta el investigador.

Al mismo tiempo, señala John Hultquist, analista principal de Google Threat Intelligence Group, China está limitando cada vez más su participación en el intercambio global de información sobre ciberamenazas, incluso presionando a investigadores para que no hablen en conferencias internacionales. El resultado es una asimetría: las empresas occidentales siguen formando a especialistas en todo el mundo, incluidos algunos que después pueden trabajar al servicio de intereses extranjeros, mientras que el flujo inverso de conocimientos y cooperación desde China se reduce. Como resume Hultquist, surge un «club de intercambio» en el que una parte sigue compartiendo información y tecnología y la otra deja claro que no piensa responder de la misma manera.