El 4 de septiembre, el New York Times reveló(nueva ventana) detalles de Salt Typhoon, una campaña de piratería patrocinada por el estado chino(nueva ventana) que se infiltró silenciosamente en el software empresarial de EE. UU. utilizado por millones de personas. Los métodos sonarán familiares para cualquiera en tecnología, seguridad o gobierno: enrutadores comprometidos, metadatos robados, vulnerabilidades sin parchear. Pero el alcance es lo que hace que Salt Typhoon(nueva ventana) sea diferente.

El ataque es un desmantelamiento sistemático continuo de la infraestructura sobre la que funciona nuestro mundo digital. Pero más que eso, es una campana de alarma que nos recuerda que las pilas de datos extraídos, las prácticas de vigilancia rutinarias y la presión gubernamental en todo el mundo para debilitar el cifrado(nueva ventana) están poniendo en riesgo cada vez más información nuestra.

Un sistema de espionaje global oculto a plena vista

Salt Typhoon es parte de una operación más amplia dirigida por el Ministerio de Seguridad del Estado de China. Estos actores han ganado acceso silenciosamente a telecomunicaciones(nueva ventana), redes gubernamentales, transporte, alojamiento y sistemas militares, no solo en los EE. UU., sino en más de 80 países(nueva ventana), incluidos el Reino Unido, Canadá, Alemania, Japón y otros.

Salt Typhoon se vinculó al hackeo de AT&T a finales de 2024, en el que se reveló que actores estatales chinos podían geolocalizar y grabar las llamadas(nueva ventana) y mensajes de texto de decenas de millones de personas en los EE. UU.

Este último informe sugiere que Salt Typhoon ahora afecta a tantos sistemas que los funcionarios sospechan que puede haber robado información de casi todos los estadounidenses(nueva ventana).

El Aviso de Ciberseguridad(nueva ventana) (CSA), compuesto por múltiples agencias de seguridad, incluidas la NSA, CISA, FBI y socios internacionales, ha confirmado que Salt Typhoon no es un evento único. En cambio, es una campaña de espionaje coordinada y duradera que ataca infraestructura crítica a nivel mundial(nueva ventana), alimentando lo que el aviso describe como un “sistema de espionaje global”.

¿Qué es Salt Typhoon?

Salt Typhoon es una campaña de piratería que comenzó en 2021 y se ha vinculado a entidades con lazos con los servicios de inteligencia chinos. Ataca la infraestructura de Internet: los enrutadores troncales, dispositivos de borde y VPN de las que dependen las telecomunicaciones. Aprovecha errores conocidos en equipos comunes de Cisco, Ivanti y Palo Alto que no han sido parcheados.

Una vez dentro, Salt Typhoon ataca herramientas que ya existen dentro del hardware, esencialmente convirtiendo las operaciones ordinarias de gestión de red en herramientas de vigilancia encubierta.

Al esconderse dentro de la infraestructura central, Salt Typhoon ha podido copiar silenciosamente credenciales, registros y metadatos durante meses sin llamar la atención. El CSA señaló que Salt Typhoon permaneció oculto durante más de 18 meses, manteniendo el control del sistema mientras recopilaba datos en lotes difíciles de detectar.

Qué puede hacer para mantenerse seguro

Gran parte del daño de Salt Typhoon ya está hecho, pero hay pasos que puede seguir para reducir su riesgo y proteger sus comunicaciones. Estos se aplican ya sea que sea un individuo, una empresa o una empresa más grande:

El cifrado de extremo a extremo es esencial para la seguridad

Salt Typhoon demuestra que cualquier vulnerabilidad de red es solo una puerta abierta esperando ser encontrada.

El cifrado de extremo a extremo garantiza que incluso si una red se ve comprometida, el atacante podría recopilar algunos metadatos, pero no puede acceder al contenido de un archivo o mensaje. Sin E2EE, un atacante que se infiltra en la infraestructura de telecomunicaciones, como Salt Typhoon, puede monitorizar conversaciones y mensajes de texto en tiempo real.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) incluso ha instado a personas altamente atacadas, altos funcionarios, periodistas, líderes políticos, a usar herramientas cifradas de extremo a extremo como Signal para protegerse(nueva ventana). La misma lógica se aplica a todos.

La gente común también enfrenta amenazas constantes, incluido el robo de identidad, fraude financiero, vigilancia corporativa y hackers comunes que buscan explotar eslabones débiles. Si las personas más poderosas del gobierno necesitan cifrado de extremo a extremo, el resto de nosotros también.

Y es por eso que los esfuerzos continuos para socavar el cifrado, desde la Ley de Poderes de Investigación del Reino Unido hasta la Ley de Asistencia y Acceso de Australia y las leyes propuestas en la UE, son tan peligrosamente equivocados. Salt Typhoon nos muestra exactamente qué sucede cuando existen puertas traseras: los adversarios las encuentran. El cifrado protege a todos o no protege a nadie.

El cifrado debe mantenerse

La seguridad siempre será difícil en un mundo construido sobre la vigilancia. Al igual que la reciente vulneración de Salesloft Drift, este ataque muestra cuán frágil es nuestra infraestructura cuando las empresas recopilan demasiada información y no logran asegurarla adecuadamente. Pero los sistemas que son privados por diseño también son más seguros por diseño, y ese es el modelo hacia el que debemos avanzar.

Proton se fundó bajo el principio de que la privacidad es un derecho humano fundamental. Es por eso que ofrecemos servicios (correo electrónico, VPN, calendario, almacenamiento de archivos) todos asegurados con cifrado de extremo a extremo. Y es por eso que continuaremos luchando contra cada intento de debilitarlo.