Investigación de Google y empresas de ciberseguridad detectó ataques dirigidos a redes de telecomunicaciones y organismos gubernamentales mediante técnicas que ocultaban el tráfico malicioso en servicios de la nube.
INTERNACIONAL – Expertos del Google Threat Intelligence Group (GTIG), junto a la firma de ciberseguridad Mandiant y otros socios del sector, anunciaron a fines de febrero el desmantelamiento de una extensa campaña de espionaje digital que habría afectado a organizaciones en distintos países del mundo, entre ellos Chile.
Según el informe divulgado por las compañías de seguridad, la operación fue atribuida al grupo de ciberespionaje UNC2814, al cual Google ha seguido desde el año 2017. De acuerdo con la multinacional tecnológica, se trata de un actor malicioso con presuntos vínculos con la República Popular China (RPC).
La investigación señala que el grupo habría mantenido durante varios años una campaña de infiltración enfocada principalmente en redes de telecomunicaciones y organismos gubernamentales, utilizando técnicas altamente sigilosas para evitar la detección de los sistemas de defensa.
Uno de los métodos más llamativos utilizados por los atacantes consistió en aprovechar funciones legítimas de Google Sheets para enviar y recibir comandos de forma encubierta, lo que permitía que el tráfico malicioso se mezclara con la actividad normal dentro de plataformas cloud.
Para ello, los hackers utilizaron un backdoor identificado como “GRIDTIDE”, el cual permitía establecer un canal de comando y control (C2) mediante llamadas a la API de Google Sheets, dificultando que los sistemas de seguridad identificaran la actividad como una amenaza.
De acuerdo con los resultados de la investigación, al menos 53 organizaciones en 42 países fueron confirmadas como víctimas de esta campaña, mientras que en otros 20 países se detectó actividad sospechosa relacionada con el mismo grupo.
Entre los territorios señalados en el informe aparecen varios países de América Latina, incluyendo Guatemala, Costa Rica, Panamá, Brasil, Bolivia, Colombia, Perú y Chile, aunque el reporte no identifica públicamente las instituciones afectadas.
En uno de los sistemas comprometidos, los investigadores detectaron que los atacantes lograron acceder a información personal altamente sensible, entre ella nombres completos, números de teléfono, fechas de nacimiento y números de identificación, datos que podrían permitir seguimiento y vigilancia de comunicaciones.
Para detener la operación, los equipos de seguridad implementaron diversas medidas, entre ellas la cancelación de proyectos de Google Cloud controlados por los atacantes, la desactivación de cuentas utilizadas por el grupo y la revocación del acceso a las APIs de Google Sheets empleadas para el control de la intrusión.
Además, se procedió a identificar y deshabilitar la infraestructura digital asociada a UNC2814, junto con la publicación de indicadores de compromiso (IOC) que permitirán a organizaciones detectar posibles rastros del ataque en sus sistemas.
Los especialistas advirtieron que la presencia confirmada o sospechosa de esta campaña en más de 70 países evidencia la magnitud del espionaje digital y el riesgo que enfrentan sectores estratégicos como telecomunicaciones y organismos gubernamentales.
