El tifón salino chino se infiltró en la red de la Guardia Nacional de EE. UU. durante meses

Un sofisticado grupo APT chino, Salt Typhoon , se infiltró con éxito en la red de la Guardia Nacional del Ejército del estado estadounidense durante casi un año, desde marzo de 2024 hasta diciembre de 2024. Esta violación, detallada en un memorando del Departamento de Seguridad Nacional (DHS) de junio,

Si bien esto genera preocupación sobre la seguridad del ejército estadounidense y los sistemas de infraestructura crítica, el ataque no es del todo inesperado. Según informa Hackread.com, los ladrones de información, disponibles por tan solo 10 dólares, ya han comprometido sistemas altamente sensibles del ejército estadounidense e incluso del FBI.

El memorando del DHS , que obtuvo su información de un informe del Departamento de Defensa (DOD) y posteriormente fue compartido con NBC News a través de una solicitud de acceso a la información pública por parte de Property of the People, organización sin fines de lucro dedicada a la transparencia en seguridad nacional, reveló que Salt Typhoon comprometió extensamente la red. Si bien no se mencionó el estado específico, el ataque permitió a los hackers recopilar información vital.

Durante su prolongado acceso, Salt Typhoon logró recopilar datos confidenciales, incluyendo configuraciones de red y detalles del tráfico de datos con unidades de la Guardia Nacional en todos los demás estados de EE. UU. y al menos cuatro territorios estadounidenses. Esta información robada también contenía credenciales de administrador y diagramas de red, que podrían utilizarse para facilitar futuros ataques contra otras unidades de la Guardia Nacional.

Los datos robados también incluían mapas de ubicación geográfica e información personal identificable (PII) de militares. En unos 14 estados, las unidades de la Guardia Nacional colaboran estrechamente con centros de fusión para el intercambio de inteligencia, lo que significa que la filtración podría tener un impacto mayor, según el memorando.

Vale la pena señalar que Salt Typhoon (también conocido como GhostEmperor, FamousSparrow, Earth Estries y UNC2286) tiene antecedentes de atacar al gobierno de EE. UU. y a sectores de infraestructura crítica, incluidos los sistemas de energía, comunicaciones, transporte y agua.

Como informó previamente Hackread.com, en noviembre de 2024, Salt Typhoon estuvo vinculado a un importante ataque informático a T-Mobile, lo que puso de manifiesto vulnerabilidades en los sistemas de telecomunicaciones. Hasta la fecha, el grupo ha comprometido al menos a ocho importantes compañías estadounidenses de internet y telefonía, entre ellas AT&T y Verizon .

Según se informa, estos puntos de acceso se utilizaron para monitorear las comunicaciones de figuras políticas prominentes, incluidas las campañas presidenciales de Harris y Trump y la oficina del líder de la mayoría del Senado, Chuck Schumer.

Un aviso de junio de 2025 del FBI y el Centro Cibernético de Canadá advirtió sobre la campaña global de Salt Typhoon contra las redes de telecomunicaciones, explotando vulnerabilidades como CVE-2023-20198 en los dispositivos para robar datos y mantener acceso oculto.

Dada la complejidad de las unidades de la Guardia Nacional, que operan bajo la autoridad federal y estatal, el incidente podría generar más puntos vulnerables a posibles ciberataques. El Departamento de Defensa no ha comentado los detalles, pero un portavoz de la Oficina de la Guardia Nacional confirmó la vulneración, señalando que no ha afectado sus misiones.

“El DHS continúa analizando este tipo de ataques y está coordinando estrechamente con la Guardia Nacional y otros socios para prevenir futuros ataques y mitigar el riesgo”, dijo un portavoz del DHS.

Mientras tanto, el portavoz de la embajada de China en Washington no negó la campaña, pero enfatizó que Estados Unidos carece de pruebas concluyentes que vinculen a Salt Typhoon con el gobierno chino. No obstante, los expertos en ciberseguridad recomiendan reforzar los dispositivos de red, implementar políticas de contraseñas más robustas y habilitar un cifrado robusto para contrarrestar estas amenazas.

“Volt Typhoon se centra en el preposicionamiento para la disrupción y en la creación de un efecto disuasorio basado en esto, mientras que Salt Typhoon se centra en el posicionamiento para la recopilación de inteligencia”, dijo Casey Ellis , fundador de Bugcrowd, un líder con sede en San Francisco, California, en ciberseguridad colaborativa.

Una intrusión en la Guardia Nacional no es una operación exclusivamente militar. Los estados recurren regularmente a su Guardia Nacional para ayudar en la ciberdefensa de la infraestructura civil. Como objetivo, serían una rica fuente de inteligencia útil de todo tipo, argumentó Casey.

La inteligencia orienta la acción, así que, si bien el anuncio del Tifón Volt es alentador, es importante recordar que estamos jugando a un juego de lucha. La vigilancia y los esfuerzos continuos de resiliencia son clave para los defensores nacionales de todo tipo, aconsejó.