Campaña Salt Typhoon: Espionaje chino compromete a más de 80 países

En lo que ya se califica como uno de los sismos más profundos en la historia de la seguridad nacional y las telecomunicaciones globales, la Campaña Salt Typhoon ha dejado al descubierto la fragilidad extrema de la infraestructura digital sobre la que descansa el mundo moderno. Los hallazgos presentados este 29 de abril de 2026 ante el Comité de Seguridad Nacional de la Cámara de Representantes de los Estados Unidos no solo confirman la magnitud del desastre, sino que dibujan un panorama de espionaje persistente que ha comprometido a más de 80 países, infiltrando los sistemas de vigilancia que, irónicamente, fueron diseñados para proteger la ley y el orden.

Vinculada directamente a actores estatales chinos bajo la tutela del Ministerio de Seguridad del Estado (MSS), la Campaña Salt Typhoon no ha sido un ataque fortuito ni una brecha superficial. Estamos ante una operación de años, meticulosamente ejecutada, que ha logrado lo impensable: convertir a los proveedores de servicios de Internet (ISP) y sus herramientas de interceptación legal en armas de espionaje masivo. La revelación de que se han robado más de un millón de registros de llamadas estadounidenses y se han infiltrado sistemas de vigilancia autorizados por tribunales marca un punto de no retorno en la guerra fría digital del siglo XXI.

La anatomía de una infiltración global: ¿Cómo operó Salt Typhoon?

Para comprender el éxito de la Campaña Salt Typhoon, es imperativo alejarse de la visión simplista del “hacker” que rompe una contraseña. Esta operación se basó en una combinación letal de explotación de vulnerabilidades técnicas ignoradas y la técnica conocida como “Living off the Land” (LotL). En lugar de desplegar un arsenal de malware detectable, los atacantes utilizaron las propias herramientas de gestión de red de las compañías de telecomunicaciones para moverse como fantasmas por sus infraestructuras.

Uno de los puntos más críticos fue la explotación de routers perimetrales y dispositivos de red de fabricantes líderes como Cisco y Juniper. Los informes técnicos indican que los actores de Salt Typhoon aprovecharon vulnerabilidades de larga data, incluyendo la tristemente célebre CVE-2018-0171, una falla en routers Cisco que tiene más de siete años de antigüedad y que muchas infraestructuras críticas aún no habían parcheado. Al tomar control de estos nodos centrales, los atacantes pudieron capturar el tráfico de datos antes incluso de que este fuera procesado por los sistemas de seguridad de las capas superiores.

El asalto a CALEA: El caballo de Troya de la vigilancia legal

El aspecto más alarmante de la Campaña Salt Typhoon es la vulneración del sistema CALEA (Communications Assistance for Law Enforcement Act). Este marco legal obliga a las empresas de telecomunicaciones a mantener “puertas traseras” técnicas para que las agencias de inteligencia y la policía puedan realizar escuchas autorizadas por un juez. Los agentes chinos lograron infiltrarse en estos portales de acceso privado, lo que les permitió no solo interceptar comunicaciones, sino también identificar qué espías y agentes estaban siendo monitoreados por el gobierno de los Estados Unidos.

• Interceptación de metadatos: Se estima que el robo supera el millón de registros, incluyendo marcas de tiempo, direcciones IP de origen y destino, y números telefónicos.
• Captura de audio: En casos específicos de alto perfil, los atacantes lograron obtener grabaciones de audio completas de llamadas telefónicas, comprometiendo comunicaciones estratégicas de campañas políticas y funcionarios de seguridad nacional.
• Persistencia absoluta: Al modificar las configuraciones de los routers y crear túneles GRE cifrados, los atacantes aseguraron que, incluso si se detectaba una anomalía, ellos pudieran mantener el acceso a través de cuentas locales ocultas y servidores SSH en puertos no convencionales.

Un impacto geopolítico que trasciende fronteras

Si bien los titulares se centran en el impacto en los Estados Unidos, la Campaña Salt Typhoon es una crisis global. Con más de 80 países afectados, esta operación ha comprometido la soberanía digital de naciones en Europa, el Indo-Pacífico y América Latina. La capacidad de un solo actor estatal para penetrar simultáneamente en las redes troncales de gigantes como Verizon, AT&T, T-Mobile y Lumen sugiere una asimetría de poder cibernético que las democracias occidentales no han sabido gestionar.

Durante la audiencia del 29 de abril, legisladores y expertos advirtieron que esta campaña es un componente de la “estrategia de los 100 años” de China para alcanzar la hegemonía global. No se trata solo de robar secretos comerciales; se trata de tener el control sobre el flujo de información de sus adversarios. Al tener acceso a los registros de llamadas de funcionarios clave y candidatos presidenciales, el MSS ha obtenido una ventaja táctica en inteligencia humana (HUMINT) y contrainteligencia que podría durar décadas.

La urgencia de modernizar el DHS y la infraestructura crítica

La audiencia del Comité de Seguridad Nacional subrayó una verdad incómoda: el Departamento de Seguridad Nacional (DHS) está luchando contra amenazas del futuro con herramientas del pasado. La infraestructura de TI envejecida y el déficit de talento especializado han creado un terreno fértil para que grupos como Salt Typhoon se establezcan de forma permanente. El representante Andy Ogles enfatizó que la modernización no es una opción, sino un requisito de supervivencia nacional.

El debate se ha centrado en la necesidad de reformar el papel de la Agencia de Gestión de Riesgos Sectoriales (SRMA) del DHS. Actualmente, la coordinación entre el gobierno y el sector privado es lenta y burocrática. Mientras las empresas de telecomunicaciones tardan meses en aplicar parches críticos por temor a interrumpir el servicio, los atacantes estatales aprovechan esa ventana de vulnerabilidad para incrustarse en los sistemas de tal manera que su erradicación total es, hoy por hoy, casi imposible.

FISA Sección 702: Seguridad frente a privacidad en el ojo del huracán

La magnitud de la Campaña Salt Typhoon ha llegado en un momento político crucial. El 29 de abril, el mismo día de la audiencia, la Cámara de Representantes avanzó en la reautorización del polémico programa de vigilancia de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA). Los defensores del programa argumentan que, sin estas herramientas de recolección de inteligencia, sería imposible detectar y mitigar operaciones tan sofisticadas como las de Salt Typhoon.

Sin embargo, la ironía no escapa a los críticos. La propia existencia de sistemas de vigilancia masiva y “puertas traseras” obligatorias fue lo que permitió a los atacantes chinos tener un objetivo claro y centralizado que explotar. La Campaña Salt Typhoon demuestra que una herramienta creada para la vigilancia estatal es, en esencia, una vulnerabilidad de seguridad nacional si cae en las manos equivocadas. El debate legislativo ahora gira en torno a si la solución es otorgar más poder a las agencias de inteligencia o si, por el contrario, se debe avanzar hacia una encriptación de extremo a extremo que incluso el gobierno no pueda romper, eliminando así el punto único de falla que los hackers chinos explotaron con tanta eficacia.

Lecciones técnicas: Del descuido a la resiliencia

El análisis de la Campaña Salt Typhoon deja lecciones técnicas que las organizaciones deben implementar de inmediato para evitar ser la próxima víctima de un ataque de esta escala. No basta con tener un firewall; la seguridad debe ser intrínseca a la arquitectura de red.

1. Eliminación de sistemas legados: La persistencia de routers con vulnerabilidades de 2018 es inaceptable. Las auditorías de red deben ser agresivas y obligar a la actualización inmediata de cualquier dispositivo que no soporte los estándares actuales de seguridad.
2. Implementación de Zero Trust en la red troncal: Los proveedores de servicios deben dejar de confiar en los dispositivos internos por el simple hecho de estar “detrás del firewall”. Cada acceso, especialmente a los sistemas de interceptación legal, debe ser verificado continuamente.
3. Monitoreo de anomalías en herramientas de gestión: Dado que Salt Typhoon usó protocolos como SNMP, TACACS y RADIUS para extraer información, es fundamental que las empresas implementen análisis de comportamiento para detectar usos inusuales de estos protocolos de gestión.
4. Protección de credenciales de administrador: El robo de credenciales legítimas fue clave para el movimiento lateral. La implementación de autenticación multifactor (MFA) robusta y resistente al phishing es la primera línea de defensa.

El futuro de la confianza digital

La pregunta que queda en el aire tras la revelación de la Campaña Salt Typhoon es si es posible recuperar la confianza en las comunicaciones globales. Cuando un ciudadano sabe que sus registros de llamadas no solo pueden ser vistos por su gobierno, sino también por una potencia extranjera hostil, el contrato social digital se rompe.

La respuesta de la comunidad internacional debe ser coordinada. El hecho de que Canadá, Reino Unido, Japón y Alemania se hayan unido a la advertencia técnica de los Estados Unidos sugiere que estamos ante el nacimiento de una alianza defensiva más estrecha. Pero la tecnología avanza más rápido que la diplomacia. Con la llegada de la Inteligencia Artificial agentiva, los futuros “Typhoons” podrían ser capaces de realizar ataques autónomos, parcheando ellos mismos las vulnerabilidades que explotan para evitar que otros hackers entren, tal como se observó en algunos de los routers comprometidos por Salt Typhoon.

En conclusión, la Campaña Salt Typhoon no es solo un recordatorio de que estamos bajo vigilancia, sino una advertencia de que nuestra infraestructura más crítica está construida sobre cimientos de barro. La modernización del DHS, la reforma de las leyes de vigilancia y una inversión masiva en ciberseguridad defensiva ya no son discusiones de nicho; son las prioridades más urgentes de una era donde el control de la red es, sencillamente, el control del mundo.