Una mega filtración de ciberseguridad revela el mundo de los hackers contratados en China

Filtraciones

Una mega filtración de datos de una empresa china de ciberseguridad ha revelado que agentes de seguridad del Estado pagan decenas de miles de libras para recopilar datos sobre objetivos, incluidos gobiernos extranjeros, mientras los hackers informáticos acumulan enormes cantidades de información sobre cualquier persona o institución que pueda ser de interés para sus posibles clientes.

El caché de más de 500 archivos filtrados de la empresa china I-Soon se publicó en el sitio web del desarrollador Github y los expertos en ciberseguridad lo consideran genuino. Algunos de los objetivos discutidos incluyen la OTAN y el Ministerio de Asuntos Exteriores del Reino Unido.

La filtración proporciona una visión sin precedentes del mundo de los hackers contratados en China, que el jefe de los servicios de seguridad del Reino Unido ha calificado de desafío «enorme» para el país.

Los archivos, que son una mezcla de registros de chat, prospectos de empresas y muestras de datos, revelan el alcance de las operaciones de recopilación de inteligencia de China, al tiempo que resaltan las presiones comerciales del mercado que sienten los hackers informáticos del país mientras compiten por hacer negocios en una economía en dificultades.

I-Soon parece haber trabajado con otra organización de hackers china, Chengdu 404, y posteriormente verse envuelta en una disputa comercial con ella, cuyos hackers han sido acusados ​​por el Departamento de Justicia de EE.UU. de ataques cibernéticos a empresas en EE.UU., así como a activistas a favor de la democracia en Hong Kong, entre otros objetivos.

El edificio de oficinas I-Soon en Chengdu, en la provincia de Sichuan, al suroeste de China. Fotografía: Dake Kang/AP

Otros objetivos discutidos en las filtraciones de I-Soon incluyen el grupo de expertos británico Chatham House y las oficinas de salud pública y los ministerios de relaciones exteriores de los países de la ASEAN. Algunos de estos datos parecen haber sido recopilados según especificaciones, mientras que en otros casos existen contratos específicos con una oficina de seguridad pública china para recopilar cierto tipo de datos.

Un portavoz de Chatham House dijo: “Somos conscientes de que estos datos salen a la luz y, naturalmente, estamos preocupados. Chatham House se toma muy en serio la seguridad de los datos y la información. En el clima actual, nosotros, junto con muchas otras organizaciones, somos blanco de intentos regulares de ataques tanto por parte de actores estatales como no estatales».

«Contamos con medidas de protección que incluyen salvaguardias basadas en tecnología que se revisan y actualizan periódicamente», señaló.

Un funcionario de la OTAN dijo: “La alianza enfrenta ciber-amenazas persistentes y se ha preparado para ello invirtiendo en amplias defensas cibernéticas. La OTAN revisa cada denuncia de amenazas cibernéticas”.

Los servicios que ofrece I-Soon son variados. En un ejemplo, la oficina de seguridad pública de una ciudad de Shandong pagó casi 44.000 libras esterlinas para obtener acceso a las bandejas de entrada de correo electrónico de 10 objetivos durante un año.

La empresa afirmó poder hackear cuentas en X, obtener información personal de Facebook, obtener datos de bases de datos internas y comprometer varios sistemas operativos, incluidos Mac y Android.

En uno de los archivos hay una captura de pantalla de una carpeta titulada “Notas de la secretaría de Asuntos Europeos de Macedonia del Norte”. Otra captura de pantalla muestra archivos que parecen estar relacionados con la UE, incluido uno titulado «Proyecto de posición de la UE con respecto a la COP 15 parte 2». Los nombres de los archivos hacen referencia a un sistema de cifrado utilizado por entidades de la UE para proteger los datos oficiales.

En algunos casos, no queda claro cuál fue el propósito de la recopilación de datos. «El Estado chino básicamente está acaparando todos los datos que puede», afirmó Alan Woodward, experto en seguridad informática de la Universidad de Surrey. «Sólo quieren tanta información como puedan en caso de que resulte útil».

Woodward señaló que, a diferencia de los expertos informáticos vinculados al Estado ruso que realizan ataques de ransomware u otras acciones disruptivas, los intentos chinos tendían a centrarse en la recopilación masiva de datos. «Parte de esto podría interpretarse como sentar las bases para ser disruptivos en una etapa posterior», dijo Woodward.

I-Soon también apuntó a víctimas domésticas. En un acuerdo de cooperación sin fecha con una autoridad local en Xinjiang, I-Soon declaró que podría brindar apoyo “antiterrorista” a la policía local en el seguimiento de los Uigures. I-Soon dijo que tenía más de una década de experiencia en el acceso a «varios permisos de servidor y permisos de intranet en múltiples países».

La empresa afirmó haber obtenido datos de las autoridades antiterroristas de Pakistán y del servicio postal de Pakistán. La embajada de Pakistán en Londres no respondió a una solicitud de comentarios.

Algunas de las promesas a los clientes podrían haber sido con el objetivo de ventas. En una discusión, un empleado preguntó: “¿Nos están engañando los clientes o estamos engañando nosotros a los clientes?”. El trabajador continúa diciendo que engañar a los clientes sobre las capacidades de la empresa es “normal, pero no es bueno que la empresa engañe a sus empleados”.

Otros registros de chat eran sorprendentemente mundanos. Los empleados hablaron sobre Covid-19 y las presiones financieras en I-Soon. “Al principio, todo el mundo sabía que la empresa estaba pasando por momentos difíciles y todos lo entendieron. Después de todo, la epidemia es muy grave”, escribió un trabajador en marzo de 2021. Pero, se quejaron, I-Soon “no dijo que no nos pagarían salarios”.

Al año siguiente, las presiones en la empresa parecían haberse intensificado. El director ejecutivo, Wu Haibo, que utiliza el seudónimo Shutd0wn, dijo que la pérdida de personal principal había afectado la confianza de los clientes, lo que había provocado una pérdida de negocios. 

Publicado en theguardian.com