AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**EE.UU. relaja sanciones a actores chinos tras los ataques Salt Typhoon: expertos alertan sobre riesgos estratégicos**

admin

### 1. Introducción

El reciente giro en la postura de la administración estadounidense respecto a los actores chinos implicados en la campaña Salt Typhoon ha generado una intensa discusión en la comunidad de ciberseguridad. Diversos profesionales del sector advierten que la retirada de sanciones unilaterales no solo reduce la presión sobre los responsables, sino que también puede sentar un peligroso precedente en la lucha global contra las amenazas persistentes avanzadas (APT). Analizamos en profundidad el contexto, los vectores técnicos, el impacto y las implicaciones de esta decisión para los profesionales y empresas afectadas.

### 2. Contexto del Incidente o Vulnerabilidad

Salt Typhoon, también conocido en la comunidad como APT41 o Brass Typhoon según nomenclaturas de Microsoft y Mandiant, es un grupo de amenazas de origen chino vinculado a actividades de ciberespionaje y sabotaje. Entre 2022 y 2023, se le atribuyeron sofisticados ataques dirigidos contra infraestructuras críticas, especialmente operadores de telecomunicaciones de EE.UU. y Europa, comprometiendo activos sensibles mediante técnicas de explotación de vulnerabilidades zero-day y living-off-the-land.

Frente a estos incidentes, la administración Trump impuso sanciones económicas y restricciones a entidades y personas físicas asociadas con el grupo. Sin embargo, en 2024, la actual administración estadounidense ha optado por relajar —e incluso retirar— varias de estas sanciones, privilegiando la vía diplomática en las relaciones con China.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Salt Typhoon ha demostrado una capacidad avanzada para explotar vulnerabilidades zero-day y day-one en productos de red y telecomunicaciones. Durante la campaña de 2023, los actores explotaron principalmente las siguientes vulnerabilidades:

– **CVE-2022-30190** (Follina) en Microsoft Office, permitiendo ejecución remota de código a través de documentos maliciosos.
– **CVE-2023-23397** en Microsoft Outlook, utilizada para escalar privilegios y obtener credenciales.
– **CVE-2022-40684** en dispositivos Fortinet, aprovechada para acceso no autenticado a la administración de la red.

Los vectores de ataque incluyeron spear-phishing dirigido a empleados clave, movimientos laterales mediante Pass-the-Hash y explotación de credenciales filtradas en repositorios públicos. El framework MITRE ATT&CK identifica en Salt Typhoon el uso intensivo de técnicas como:

– **TA0001 – Initial Access:** Spear-phishing, exploitation of public-facing application.
– **TA0002 – Execution:** Command and scripting interpreter (T1059).
– **TA0007 – Discovery:** Account discovery, network service scanning.
– **TA0008 – Lateral Movement:** Remote services (T1021), Pass-the-Hash (T1550.002).
– **TA0010 – Exfiltration:** Exfiltration over C2 channel (T1041).

Se han identificado múltiples IoC (Indicators of Compromise), incluyendo dominios C2 como `update-ms[.]net`, direcciones IP en rangos chinos y hashes de herramientas personalizadas basadas en Cobalt Strike y Metasploit.

### 4. Impacto y Riesgos

El impacto de la campaña Salt Typhoon ha sido considerable. Las estimaciones apuntan a que más de un 12% de las empresas de telecomunicaciones en EE.UU. experimentaron algún grado de compromiso, con filtración de información confidencial, interrupciones en servicios y pérdidas millonarias (superiores a 150 millones de dólares, según ISACA).

A nivel estratégico, estos ataques han expuesto debilidades en las cadenas de suministro digital y en la segmentación de redes críticas, poniendo en entredicho el cumplimiento de normativas como NIS2 y GDPR, especialmente en lo relativo a notificación de incidentes y protección de datos personales.

### 5. Medidas de Mitigación y Recomendaciones

A raíz de estos incidentes, se recomiendan las siguientes acciones técnicas y organizativas:

– Aplicar de inmediato los parches de seguridad para CVE-2022-30190, CVE-2022-40684 y CVE-2023-23397 en todos los sistemas afectados.
– Desplegar detección y respuesta en endpoints (EDR) para identificar movimientos laterales y uso de herramientas como Cobalt Strike.
– Revisar las configuraciones de acceso remoto y segmentar redes críticas para limitar la superficie de ataque.
– Actualizar listas de IoC y monitorizar tráfico sospechoso hacia dominios y direcciones IP asociadas a Salt Typhoon.
– Formar periódicamente al personal en reconocimiento de ataques de spear-phishing.

### 6. Opinión de Expertos

Expertos del sector, como John Hultquist (Mandiant) y Katie Nickels (Red Canary), consideran que la relajación de sanciones reduce la capacidad de disuasión y puede ser interpretada por actores estatales como una señal de debilidad. Según Nickels, «la diplomacia es esencial, pero debe ir acompañada de acciones técnicas y punitivas para proteger la infraestructura crítica». Varios analistas coinciden en que la cooperación internacional y la compartición de inteligencia son clave, pero que abandonar las sanciones puede incentivar nuevas campañas de ciberespionaje.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas de telecomunicaciones y otras infraestructuras críticas, la decisión política supone un aumento de la exposición al riesgo. La retirada de sanciones puede traducirse en una mayor frecuencia de ataques, así como en una erosión de la confianza de clientes y socios internacionales. El no aplicar medidas de mitigación efectivas puede llevar a sanciones bajo el marco de la GDPR y NIS2, así como a pérdidas reputacionales y económicas significativas.

### 8. Conclusiones

La relajación de sanciones contra actores chinos implicados en la campaña Salt Typhoon plantea serias dudas sobre la estrategia de defensa cibernética de EE.UU. y sus aliados. Si bien la diplomacia es un componente necesario, los expertos advierten que debe complementarse con medidas técnicas, legales y económicas robustas para proteger la infraestructura crítica y mantener la resiliencia frente a amenazas persistentes. La vigilancia, la cooperación internacional y la actualización constante de controles técnicos siguen siendo indispensables para CISOs, analistas y responsables de seguridad en el entorno actual.

(Fuente: www.darkreading.com)