El Centro Canadiense de Seguridad Cibernética (CCCS) y el Buró Federal de Investigaciones (FBI) han confirmado que el grupo de ciberespionaje Salt Typhoon, vinculado al Estado chino, ha comprometido con éxito la infraestructura de un importante proveedor de telecomunicaciones en Canadá. Este ataque forma parte de una campaña más amplia dirigida a sectores críticos en múltiples países.
Salt Typhoon: un grupo APT respaldado por China
Salt Typhoon, también conocido en otros informes como TAG-74 o Galvanic Typhoon, es una de las tantas amenazas persistentes avanzadas (APT) asociadas con el Gobierno chino, y se especializa en ciberespionaje de largo alcance. Este grupo ha sido vinculado a ataques dirigidos contra sectores estratégicos como telecomunicaciones, defensa, energía, servicios gubernamentales y tecnologías emergentes.
En febrero de 2025, Salt Typhoon ejecutó un ataque exitoso contra un proveedor canadiense de telecomunicaciones, aprovechando una falla crítica previamente conocida: CVE-2023-20198, una vulnerabilidad en los dispositivos que ejecutan Cisco IOS XE.
¿Qué es la vulnerabilidad CVE-2023-20198?
La vulnerabilidad CVE-2023-20198 fue revelada por primera vez en octubre de 2023 y permite a atacantes remotos no autenticados crear cuentas arbitrarias con privilegios de administrador en dispositivos Cisco IOS XE. La explotación de esta falla otorga control total del sistema a los atacantes.
Durante su descubrimiento inicial, ya se había informado que miles de dispositivos —más de 10.000 routers y switches— habían sido comprometidos como parte de una campaña de día cero. Sin embargo, y a pesar del tiempo transcurrido, muchos sistemas críticos continuaban sin parchear a inicios de 2025.
El incidente en Canadá: explotación y consecuencias
Según el boletín conjunto del CCCS y el FBI, tres dispositivos de red pertenecientes a un operador canadiense fueron comprometidos a mediados de febrero de 2025. Los atacantes explotaron la vulnerabilidad CVE-2023-20198 para extraer los archivos de configuración activos en los dispositivos.
Lo más preocupante es que en al menos uno de los sistemas comprometidos, Salt Typhoon logró modificar la configuración para establecer un túnel GRE (Generic Routing Encapsulation), una técnica que les permitió redirigir y capturar tráfico de red sin ser detectados.
Este tipo de intrusión demuestra un nivel avanzado de planificación y ejecución, propio de actores de amenazas patrocinados por Estados, cuyo objetivo no es el lucro inmediato, sino la obtención de inteligencia estratégica a largo plazo.
Reconocimiento previo y falta de respuesta
El ataque en febrero no fue del todo inesperado. Ya en octubre de 2024, las autoridades canadienses habían alertado sobre actividades de reconocimiento dirigidas a múltiples organizaciones clave del país, en especial a aquellas del sector de telecomunicaciones y servicios esenciales.
Sin embargo, en aquel momento no se identificaron violaciones confirmadas. A pesar de las advertencias, algunas organizaciones no implementaron las medidas de mitigación recomendadas, lo cual dejó sus sistemas vulnerables a ataques futuros.
Objetivos estratégicos: telecomunicaciones y más
Aunque el incidente en Canadá afectó principalmente a un proveedor de telecomunicaciones, el Centro de Seguridad Cibernética indica que la campaña de Salt Typhoon se extiende a múltiples sectores, incluidos energía, transporte, salud, tecnología y servicios gubernamentales.
En muchos casos, los atacantes se limitan al reconocimiento pasivo, pero también se ha observado el uso de datos robados para movimientos laterales y ataques a la cadena de suministro, lo que podría comprometer a empresas asociadas o clientes.
Los principales objetivos incluyen dispositivos periféricos ubicados en el borde de la red, como:
-
Routers
-
Firewalls
-
Dispositivos VPN
-
Sistemas de administración remota
Además, los proveedores de servicios gestionados (MSP) y proveedores en la nube también son víctimas frecuentes de ataques indirectos destinados a llegar a sus clientes más sensibles.
Llamado a la acción: endurecimiento y vigilancia
El CCCS insta a todas las organizaciones, en especial aquellas que operan infraestructuras críticas, a:
-
Aplicar de inmediato los parches de seguridad de Cisco para CVE-2023-20198.
-
Monitorear los archivos de configuración de red para detectar cambios no autorizados.
-
Revisar los registros de red en busca de túneles GRE sospechosos.
-
Implementar controles de acceso más estrictos y segmentación de red.
Además, el boletín incluye enlaces a recursos técnicos sobre cómo endurecer la configuración de dispositivos periféricos para mejorar la ciberresiliencia de las organizaciones afectadas.
Impacto global: más allá de Canadá
Salt Typhoon no ha limitado sus acciones a Canadá. Otras empresas de telecomunicaciones de alto perfil, incluyendo AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications y Windstream, también han sido víctimas confirmadas de campañas similares.
Más recientemente, la empresa satelital Viasat reconoció haber sido blanco de Salt Typhoon. Aunque aseguraron que no se comprometieron datos de clientes, el incidente destaca la persistencia y sofisticación de este grupo APT.
En conclusión, el ataque de Salt Typhoon en Canadá subraya la importancia de mantener una postura de ciberseguridad proactiva, especialmente en sectores críticos como las telecomunicaciones. La explotación de vulnerabilidades conocidas, como CVE-2023-20198, revela que muchos operadores aún no priorizan las actualizaciones de seguridad esenciales, exponiéndose a amenazas patrocinadas por Estados con capacidades avanzadas.
Este caso no solo sirve como advertencia, sino como una llamada urgente a la acción para reforzar defensas, monitorear proactivamente y colaborar con entidades gubernamentales en la protección del ciberespacio nacional e internacional.
Fuente: Bleeping Computer
