Las agencias de ciberseguridad de China dieron a conocer el lunes los resultados de una investigación que revela cómo el Gobierno y las agencias de inteligencia estadounidenses llevaron a cabo operaciones de falsa bandera con el objetivo de "confundir sobre la autoría y difamar a otros países". Según el informe, estas acciones implican la plantación de malware de puerta trasera en dispositivos informáticos de fabricación estadounidense, que luego se instalan en la infraestructura de red de otras naciones.

"Decidimos publicar este informe para seguir exponiendo las operaciones de ciberespionaje dirigidas contra China, Alemania y otros países llevadas a cabo por el Gobierno de Estados Unidos, los países de los Cinco Ojos y sus agencias de inteligencia", afirma el documento elaborado conjuntamente por el Centro Nacional de Respuesta a Emergencias de Virus Informáticos de China y el Laboratorio Nacional de Ingeniería de Tecnología de Prevención de Virus Informáticos.

El tercer y último informe, "Volt Typhoon III: Una campaña de ciberespionaje y desinformación llevada a cabo por agencias gubernamentales estadounidenses" (Informe VT-III), califica la Operación Volt Typhoon como una farsa política promovida por Washington. El documento señala que las agencias gubernamentales estadounidenses, los principales medios de comunicación del país y el gigante tecnológico Microsoft han guardado silencio sobre los dos informes anteriores publicados en abril y julio de este año. Solo el antiguo funcionario de inteligencia estadounidense Robert Edward Joyce y algunas empresas de ciberseguridad han intentado rebatir y desmentir las conclusiones, pero sin abordar directamente las revelaciones para distorsionar los hechos.

En febrero, un comunicado conjunto de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigación (FBI) de EE. UU. describía a Volt Typhoon como un actor respaldado por China que ha comprometido y mantiene un acceso persistente a infraestructuras críticas estadounidenses. Microsoft, en su sitio web oficial, afirmó que Volt Typhoon lleva activo desde mediados de 2021 y que su actividad se centra principalmente en el espionaje y la recopilación de información.

Según las agencias chinas de ciberseguridad, más de 50 expertos de Estados Unidos, Europa, Asia y otras regiones coinciden en que el Gobierno estadounidense y Microsoft han vinculado Volt Typhoon al Gobierno chino sin aportar pruebas concretas. Además, expresan su preocupación de que la propia fabricación de «Volt Typhoon» sea obra de Washington.

El cibercamaleón

El informe VT-III describe la estrategia de "Defensa Avanzada" que EE. UU. implementa en el ciberespacio, la cual incluye operaciones de "caza" destinadas a desplegar fuerzas de ciberguerra alrededor de los países adversarios con el objetivo de realizar reconocimientos cercanos y llevar a cabo infiltraciones en sus redes.

La investigación descubrió que las agencias de inteligencia estadounidenses han desarrollado una herramienta de ocultación personalizada, conocida como Marble, para encubrir sus operaciones de explotación de redes informáticas, inducir a error en los análisis de autoría y desviar la culpa a otros países.

Según el informe, Marble es un marco que puede integrarse con otros proyectos de desarrollo de armas cibernéticas. Su funcionalidad permite a los desarrolladores ofuscar diversas cadenas identificables en el código del programa para borrar sus "huellas dactilares", lo que es comparable a modificar el estriado de un arma de fuego. Esto hace prácticamente imposible rastrear el verdadero origen de dichas herramientas.

Además, la investigación indica que Marble puede insertar cadenas en varios idiomas a voluntad, como chino, ruso, coreano, persa y árabe. "Esto tiene la clara intención de engañar a los investigadores y difamar a China, Rusia, la República Popular Democrática de Corea, Irán y los países árabes", señala el informe.

Este tipo de operación de bandera falsa no se limita a la codificación, sino que también incluye la imitación de las tácticas, técnicas y procedimientos (TTP) de grupos de ciberdelincuentes. Así, los hackers que trabajan para las fuerzas cibernéticas y las agencias de inteligencia estadounidenses pueden camuflarse como "camaleones" en el ciberespacio, simulando estar ubicados en otros países para llevar a cabo ciberataques y espionaje a nivel global.

Es más, la operación de falsa bandera es en realidad un componente importante de la Operación EFFECTS de la agencia de inteligencia estadounidense, conocida como «Acción encubierta en línea» en Reino Unido. Los documentos internos de EE. UU. y de la Alianza de los Cinco Ojos indican claramente que la implementación de esta Operación EFFECTS debe seguir el principio de "negar, perturbar, degradar y engañar", abarcando así todos los elementos centrales de la operación Volt Typhoon.

El ciberespía

En su segunda edición, publicada en julio, el informe de las agencias chinas de ciberseguridad reveló que las agencias gubernamentales estadounidenses, especialmente las de inteligencia, han estado fabricando ciberamenazas en el extranjero y llevando a cabo operaciones de desinformación bajo la Sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera de Estados Unidos (FISA), a menudo conocida como la "ley de vigilancia sin orden judicial". El informe VT-III proporciona nuevos detalles sobre los programas de vigilancia.

Se sugiere que la avanzada infraestructura de Internet estadounidense controla "puntos de estrangulamiento" clave y que existen al menos siete sitios de acceso para escuchas que abarcan todos los cables ópticos submarinos desde el Atlántico hasta el Pacífico.

La NSA ha implementado dos proyectos significativos: UpStream y Prism. UpStream fue diseñado para almacenar todos los datos en bruto interceptados de los cables ópticos submarinos, creando así una vasta reserva de datos para su posterior procesamiento. Prism, por su parte, descodificaría esos datos y los clasificaría en función de diversas aplicaciones de Internet, con el objetivo de recuperar el contenido de las comunicaciones.

Ambos proyectos fueron autorizados por la Sección 702 de la FISA, que ha proporcionado la base legal para el espionaje en Internet a escala mundial y los cimientos del "Imperio del Hacking", según el último informe. VT-III señala que muchos de los centros de mando y control de estos programas de espionaje se encuentran en bases militares estadounidenses en el extranjero, como Japón, la República de Corea, Guam y Hawái.

Eso explica por qué se considera que Guam, un territorio controlado por Estados Unidos en el océano Pacífico, es la fuente original de la falsa narrativa del Volt Typhoon creada por el Gobierno estadounidense. De este modo, la infraestructura militar estadounidense en Guam no es una víctima, sino el centro de mando y control que dirige ataques contra China y múltiples países del Sudeste Asiático.

Con la autorización de la Sección 702, Estados Unidos ha establecido una red global de vigilancia de Internet a gran escala, ampliando sus operaciones contra Francia, Alemania y Japón, así como contra sus propios ciudadanos durante protestas como Black Lives Matter y Occupy Wall Street.

La verdad oculta

Los dos informes previos de las agencias chinas de ciberseguridad sobre Volt Typhoon destacaban el creciente nivel de cooperación entre Microsoft y las agencias militares y de inteligencia de Estados Unidos, la cual se ha intensificado en 2024.

El gigante tecnológico estadounidense proporcionó versiones offline de sus modelos de inteligencia artificial y asistencia a dichas agencias, quienes las utilizaron como soporte para analizar información de inteligencia altamente clasificada, según informó Bloomberg el 7 de mayo.

Ese mismo mes, Microsoft lanzó una nueva solución de IA, incorporando una función de registro de acciones del usuario en su sistema operativo Windows. Esta funcionalidad permite que todas las actividades realizadas por el usuario sean capturadas y enviadas al asistente de IA para su aprendizaje. En junio, OpenAI, empresa aliada de Microsoft, incorporó al exdirector de la NSA, Paul Nakasone, como miembro de su junta directiva.

"Como socio clave en los programas de escuchas telefónicas bajo la Sección 702, Microsoft está cada vez más influenciada y manipulada por las agencias de inteligencia estadounidenses", afirma el informe VT-III. "A cambio, parece que las agencias gubernamentales estadounidenses han permitido que Microsoft abuse de su posición dominante en el mercado, aprovechando las actualizaciones de Windows y Office para agrupar y promover productos de software de un modo que podría considerarse una forma encubierta de monopolio."

El informe VT-III reitera que China se ha opuesto sistemáticamente a la interferencia política en las investigaciones técnicas sobre incidentes de ciberseguridad y a la politización de la atribución de ciberataques, instando a una amplia colaboración internacional en este ámbito.

Asimismo, el documento también revisa los dos informes anteriores: "Volt Typhoon: Una campaña de conspiración para estafar al Congreso de EE. UU. y a los contribuyentes dirigida por la comunidad de inteligencia estadounidense" y "Volt Typhoon II: Una campaña encubierta de desinformación contra el Congreso y los contribuyentes de EE. UU. ejecutada por las agencias gubernamentales de Estados Unidos". En ambos casos, concluye que la narrativa de Washington fue diseñada para proteger su capacidad de espionaje y vigilancia masiva a nivel global sin la necesidad de órdenes judiciales, así como para resguardar los beneficios políticos y económicos de su círculo de poder.