«Carpas glamurosas» al acecho: por qué ahora espían a periodistas haciéndose pasar por colegas
Una simple petición por correo se convirtió en la forma más fácil de abrir una caja fuerte.
Activistas chinos en el exilio y periodistas que escriben sobre la presión de Pekín en el extranjero se han enfrentado a una nueva ola de ataques dirigidos. Según Citizen Lab, los atacantes no solo enviaban correos falsos, sino que imitaban cuidadosamente identidades ajenas, copiaban páginas de organizaciones conocidas y elaboraban historias capaces de interesar a una víctima concreta.
Citizen Lab, junto con el Consorcio Internacional de Periodistas de Investigación (ICIJ) describió dos grupos denominados GLITTER CARP y SEQUIN CARP. Los autores del informe consideran que ambos actuaron en interés de la República Popular China y atacaron a activistas uigures, tibetanos, taiwaneses y hongkoneses, así como a periodistas que trabajaban en temas sensibles para las autoridades chinas.
GLITTER CARP, según Citizen Lab, desde abril de 2025 enviaba mensajes de phishing y mensajes haciéndose pasar por conocidos de activistas, por empleados del ICIJ y por servicios de seguridad. El objetivo eran las credenciales de cuentas de correo. En un caso, el activista uigur canadiense Mehmet Tohti recibió un mensaje supuestamente de un conocido director uigur que le pedía ver un próximo documental. El enlace no conducía al vídeo, sino a una página de inicio de sesión falsa de Google.
Un esquema similar se aplicó contra el Congreso Mundial Uigur, el Uyghur Human Rights Project, TibCERT, el medio taiwanés Watchout y la activista de Hong Kong Carmen Lau. Los correos contenían píxeles ocultos para rastrear la apertura de los mensajes, y parte de los enlaces dirigían a páginas que imitaban a Google, al ICIJ u otros recursos de confianza. Citizen Lab también encontró más de cien dominios relacionados, algunos de los cuales podrían haberse utilizado en otros ataques.
SEQUIN CARP actuó de manera diferente. El grupo intentó obtener acceso a Gmail mediante solicitudes OAuth maliciosas, en las que la víctima autoriza a una aplicación externa a leer el correo. Este esquema es peligroso porque no requiere contraseña y puede mantener el acceso incluso después de cambiarla, a menos que el usuario revoque manualmente el permiso.
El objetivo principal de SEQUIN CARP fue la periodista del ICIJ Shilla Alekchi, coordinadora del proyecto «China Targets». Le escribieron en nombre de Bai Bin, un exempleado de un tribunal en Pekín cuya historia había aparecido anteriormente en medios chinos. Los atacantes usaron la imagen de un denunciante y prometieron entregar documentos sobre corrupción, pero el enlace lanzaba una cadena OAuth para acceder a Gmail. Citizen Lab también registró un intento similar contra un periodista que escribe sobre el Pentágono.
Los autores del informe vinculan ambas campañas con la práctica de la represión transnacional digital. Según su evaluación, los ataques podrían haber sido realizados por contratistas privados que actuaban en interés del Estado chino. A esta hipótesis apuntan la amplia gama de objetivos, la reutilización de infraestructura, errores técnicos y la similitud con operaciones descritas anteriormente por Proofpoint, Volexity y Trend Micro.
Citizen Lab considera que campañas de ciberespionaje de este tipo minan la confianza dentro de las diásporas y las redacciones, obligan a activistas y periodistas a comprobar constantemente incluso contactos conocidos y ofrecen a las autoridades la posibilidad de negar una implicación directa. Para protegerse, los autores aconsejan verificar las direcciones de los remitentes, no introducir contraseñas después de seguir enlaces desde correos, usar llaves de seguridad físicas y revisar regularmente las aplicaciones que tienen acceso a la cuenta de Google.