Resumen IA:Google ha desmantelado una red de ciberespionaje vinculada a China (UNC2814) que operaba globalmente con el malware GRIDTIDE. El grupo comprometió redes en 42 países, incluyendo Chile, usando hojas de cálculo de Google para evadir defensas. Su objetivo era robar información sensible y espiar a activistas. Google eliminó su infraestructura y compartió datos para la detección, aunque advierte que el grupo podría intentar reconstruirse.
"Investigación profunda y contraste exhaustivo por nuestro equipo editorial."
El texto presenta los hechos de forma objetiva, detallando la operación de ciberseguridad, la metodología del atacante y las acciones de Google. No utiliza lenguaje cargado ni juicios de valor.
El artículo se centra en la operación de ciberseguridad contra el grupo UNC2814, explicando su modus operandi, el malware utilizado y el impacto. No introduce elementos ajenos a la noticia principal.
El equipo de ciberseguridad de Google ha revelado los detalles de una masiva operación de interrupción contra el grupo de amenazas UNC2814, un actor que el gigante tecnológico rastrea desde 2017 por sus nexos con el Estado chino. La investigación confirmó que la campaña logró comprometer redes críticas en cuatro continentes, incluyendo a Chile dentro de su radio de acción. En total, se identificaron 53 víctimas confirmadas en 42 naciones, con otras 20 regiones bajo sospecha de infección activa.
La sofisticación de este ataque radica en el uso del malware GRIDTIDE, una "puerta trasera" diseñada para ser invisible. A diferencia de otros ataques, este no explotaba fallos de seguridad en los productos de Google, sino que abusaba de funciones legítimas de la API de Google Sheets para comunicarse. Al usar hojas de cálculo como canales de comando y control (C2), los espías lograban que el tráfico malicioso pareciera actividad administrativa normal, evadiendo los filtros de seguridad de las empresas afectadas.
En los casos analizados, el grupo UNC2814 ganaba acceso inicial comprometiendo servidores web y sistemas perimetrales. Una vez dentro de la red, utilizaban técnicas de "vivir de la tierra" (LotL) para escalar privilegios hasta obtener el control total (root). Para asegurar su permanencia, creaban servicios ocultos bajo el nombre de herramientas legítimas de sistema, lo que les permitía operar sin ser detectados durante largos periodos de tiempo.
El interés del grupo en Chile y el resto del mundo se centró en la recolección de información de identificación personal (PII). Google detectó que los atacantes se alojaban en servidores con datos sensibles como nombres completos, registros de votantes e identificaciones nacionales. En el sector de telecomunicaciones, este acceso es crítico, ya que permite a los espías monitorear mensajes SMS, registros de llamadas y, potencialmente, abusar de los sistemas de interceptación legal de las propias compañías telefónicas.
El impacto de esta red se extendía especialmente a la vigilancia de personas de interés, incluidos activistas y disidentes, además de objetivos de espionaje tradicional. La capacidad de GRIDTIDE para exfiltrar datos de manera fragmentada a través de las celdas de una hoja de cálculo permitía que el robo de información pasara desapercibido para los sistemas de monitoreo de red estándar.
Como parte de la contraofensiva, Google eliminó todos los proyectos de la nube controlados por el atacante y revocó el acceso a las APIs utilizadas para el espionaje. También se han liberado indicadores de compromiso (IOC) para que las organizaciones en Chile y el mundo puedan verificar si sus sistemas fueron vulnerados.
Aunque la infraestructura principal ha sido deshabilitada, los analistas advierten que una red de esta escala es fruto de años de preparación. Se estima que el grupo UNC2814 intentará reconstruir su presencia global, por lo que este hito representa una victoria importante, pero no el fin de la amenaza para la seguridad digital de las instituciones chilenas.