El FBI ha solicitado la colaboración del público para identificar a los responsables del grupo de hackers chinos Salt Typhoon, quienes han estado detrás de una serie de brechas de seguridad en proveedores de telecomunicaciones en Estados Unidos y en otros países.
Estos atacantes han tenido acceso a las redes de telecomunicaciones, incluidos proveedores como AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications y Windstream, entre otros.
Detalles de los Ataques de Salt Typhoon
- Acceso a plataformas sensibles: Los atacantes no solo comprometieron las redes de telecomunicaciones de EE. UU., sino que también lograron infiltrarse en la plataforma de interceptación de comunicaciones de las fuerzas del orden estadounidenses, obteniendo acceso a las comunicaciones privadas de un número limitado de funcionarios gubernamentales de EE. UU.
- Alcance global: La actividad de los hackers también ha afectado a múltiples empresas de telecomunicaciones en docenas de países. La investigación ha revelado que los atacantes robaron registros de datos de llamadas, información privada y copias de informes de cumplimiento de la ley de EE. UU.
Recompensas y Llamado a la Acción
El FBI ha emitido un anuncio pidiendo información que ayude a identificar y localizar a los miembros de Salt Typhoon.
Además, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. impuso sanciones a la empresa Sichuan Juxinhe Network Technology, una firma de ciberseguridad china vinculada directamente con estos ataques.
El Departamento de Estado de EE. UU. también ofrece una recompensa de hasta 10 millones de dólares a través de su programa Recompensas por Justicia (RFJ) para quien brinde información sobre los hackers que atacan la infraestructura crítica de EE. UU.
Tácticas y Herramientas Utilizadas
- Explotación de vulnerabilidades: El grupo Salt Typhoon ha estado activo desde 2019 y en los últimos meses, entre diciembre de 2024 y enero de 2025, logró comprometer aún más empresas de telecomunicaciones, explotando vulnerabilidades de escalada de privilegios y inyección de comandos en interfaces Web UI en dispositivos de red Cisco IOS XE.
- Herramientas personalizadas: Los atacantes han utilizado una herramienta maliciosa conocida como JumbledPath para monitorear sigilosamente el tráfico de red y capturar datos sensibles de las redes comprometidas.
Medidas en Respuesta ️
- En respuesta a estos ataques, las autoridades de EE. UU. están considerando la posibilidad de prohibir los routers TP-Link si se confirma que su uso en ciberataques representa un riesgo para la seguridad nacional. Además, se está evaluando la posibilidad de prohibir las últimas operaciones activas de China Telecom en los EE. UU.