China prohíbe software de EE. UU. y Washington… suaviza el tono. Palo Alto demuestra cuánto valen las palabras en su informe sobre hackers.
El grupo de hackers TGR-STA-1030 lanzó ciberataques contra sistemas gubernamentales en 37 países.
La empresa Palo Alto Networks suavizó las redacciones en un informe sobre una gran campaña de hackeo con fines de espionaje y no la vinculó directamente con China, aunque inicialmente el documento presentaba esas conclusiones. Así lo informaron fuentes familiarizadas con la preparación del estudio. La decisión se tomó por temor a que una atribución rotunda pudiera provocar represalias por parte de Pekín y perjudicar a la propia empresa y a sus clientes.
Se trata de una operación a gran escala que la unidad de análisis de amenazas Unit 42 reveló la semana pasada. En la versión publicada del informe el grupo de atacantes fue descrito como «una estructura vinculada a un Estado que opera desde Asia». Según fuentes, en la versión de trabajo del documento se mencionaba directamente la relación con China, pero antes de su publicación el texto fue reescrito. Esto ocurrió poco después de informaciones de que las autoridades chinas prohibieron el uso de productos de software de aproximadamente 15 empresas estadounidenses e israelíes del sector de la ciberseguridad, entre ellas Palo Alto Networks, citando motivos de seguridad nacional.
Fuentes afirman que los investigadores de Unit 42 estaban convencidos del origen chino de la campaña y se basaban en un gran volumen de rastros técnicos y señales indirectas. La empresa, por su parte, dijo a periodistas que la cuestión de indicar un país concreto «no tiene importancia». En comentarios posteriores la responsable de comunicaciones globales Nicole Hockin subrayó que las redacciones del informe no están vinculadas a las normas chinas de adquisiciones y calificó de especulaciones las suposiciones en sentido contrario. Según ella, el lenguaje elegido sirve para advertir y proteger con mayor precisión a las entidades estatales frente a la amenaza.
En la embajada de China en Washington declararon que se oponen a cualquier ciberataque. Añadieron que determinar la fuente de las intrusiones es una tarea técnica compleja y pidieron basarse en pruebas, no en suposiciones ni en acusaciones.
El informe indica que el grupo identificado como TGR-STA-1030 fue detectado por primera vez a principios de 2025. La campaña, denominada «Operaciones Sombra», abarcó casi todo el mundo. Los atacantes realizaron reconocimiento de redes en distintos países y lograron penetrar en estructuras estatales y en infraestructuras críticas en al menos 37 Estados.
Aunque China no se menciona en el texto, el informe aporta detalles que indirectamente apuntan a una posible vinculación. La actividad coincidía con el horario laboral del huso GMT+8, al que pertenece China. También se describen operaciones contra sistemas estatales de la República Checa poco después de la reunión del presidente de ese país con el Dalai Lama, a quien Pekín considera una figura políticamente sensible. Otro ataque tuvo lugar en Tailandia en vísperas de una visita diplomática, y una semana después el rey de Tailandia realizó un viaje de Estado a Pekín.
Investigadores independientes que examinaron los datos técnicos de la campaña dijeron que observaron técnicas e infraestructura similares en operaciones que anteriormente se vinculaban con servicios estatales chinos de inteligencia.
La situación muestra en qué posición tan compleja se encuentran las grandes empresas internacionales de ciberseguridad. Nombrar públicamente el Estado responsable de una operación de espionaje atrae atención y refuerza la reputación. Pero esa medida puede provocar represalias, sobre todo si la empresa tiene empleados y oficinas en el país al que se refiere.