top of page

Tifón de sal: Lo que las juntas directivas deben saber sobre la creciente campaña de ciberespionaje de China

  • Foto del escritor: Bridge Connect
    Bridge Connect
  • 28 ago
  • 7 Min. de lectura

28 de agosto de 2025


Conclusiones ejecutivas

  • Salt Typhoon es un actor de espionaje vinculado a China que, según varios gobiernos, ha comprometido redes en más de 80 países , con un impacto notable en las telecomunicaciones y la infraestructura crítica .

    Reuters

    El Washington Post


  • Recientes avisos conjuntos vinculan la campaña con el apoyo de empresas comerciales chinas a la actividad estatal , mientras que las acciones estadounidenses incluyen sanciones a al menos una entidad por apoyar a Salt Typhoon. Se espera un mayor escrutinio regulatorio y de adquisiciones.

    Reuters


  • El acceso inicial suele aprovechar dispositivos de acceso remoto y de borde (p. ej., VPN, firewalls, administración remota), seguido de técnicas de "viviendo fuera del terreno" que se integran con la actividad administrativa normal. La aplicación de parches y la deuda de configuración en estos puntos de control son la principal medida para reducir el riesgo.

    Las noticias de los hackers

    CISA


  • Las telecomunicaciones, el transporte, la energía y el gobierno son objetivos prioritarios debido al valor estratégico de los datos (registros de llamadas, metadatos de suscriptores, enrutamiento e interfaces OT). Se asume el reconocimiento de larga duración y la recolección de credenciales.

    Reuters

    CISA


  • Los directorios deben impulsar un programa de 30, 60 y 90 días centrado en: (1) fortalecimiento e inventario de dispositivos periféricos, (2) controles de acceso privilegiado e higiene de credenciales, (3) telemetría y detección de abuso de herramientas administrativas, (4) controles de proveedores para MSP/NHN y (5) mesa de crisis para escenarios de interrupción relacionados con las telecomunicaciones.

    CISA


1) ¿Qué es “Salt Typhoon” y en qué se diferencia de otros actores de “Typhoon”?

La nomenclatura estandarizada de Microsoft utiliza "Typhoon" para los actores de amenazas atribuidos a China (p. ej., Volt Typhoon, Flax Typhoon, Silk Typhoon). Salt Typhoon es un grupo específico dentro de esa familia, monitoreado por gobiernos y múltiples proveedores; algunos avisos indican solapamientos con otras etiquetas del sector (p. ej., GhostEmperor, designadores de estilo UNC). Un punto importante para los ejecutivos: Salt Typhoon ≠ Volt Typhoon , aunque ambos son atribuidos a China y se dirigen a sectores estratégicos.


2) Qué hay de nuevo y por qué es importante ahora

En las últimas 48 horas, una coalición internacional (EE. UU., socios de Five Eyes y otros) denunció públicamente a tres empresas chinas por apoyar el espionaje estatal, vinculando explícitamente la actividad con Salt Typhoon y campañas relacionadas contra las telecomunicaciones y la infraestructura crítica. Las autoridades estadounidenses han sancionado al menos a una de estas empresas. Por otra parte, importantes medios de comunicación informan sobre la escala y la extensión geográfica ( más de 80 países y cientos de organizaciones) , incluyendo el robo de datos de telecomunicaciones entre los impactos. Para las juntas directivas, esto marca un cambio en las políticas y la aplicación de la ley : se prevén más denuncias, sanciones y restricciones en las contrataciones .

Los informes del Reino Unido también indican intrusiones en infraestructura nacional crítica británica , lo que subraya que este no es un problema exclusivo de EE . UU . El perfil de riesgo se extiende a Europa y los mercados aliados, en particular donde existen infraestructuras heredadas y retrasos en la aplicación de parches.


3) Objetivo establecido e impacto empresarial

¿Quién está en la mira?

  • Proveedores de telecomunicaciones e internet: datos de suscriptores y registros de llamadas, metadatos de interconexión, interfaces de intercepción legal, configuraciones de núcleo y borde. Beneficio estratégico: conocimiento de la situación y potencial de influencia en situaciones de crisis.

  • Transporte, energía, alojamiento, gobierno, adyacencia de defensa: almacenes de identidad, redes de contratistas, puertas de enlace OT, datos de movimiento y logística, que permiten la recopilación de inteligencia y el preposicionamiento.

¿Cuál es el impacto en el negocio?

  • Exposición regulatoria: privacidad de las telecomunicaciones y obligaciones de seguridad nacional; potencial imposición de multas, condiciones de licencia o mitigaciones obligatorias.

  • Riesgo operativo: intrusiones de larga duración que sobreviven a los ciclos de actualización del dispositivo; integridad de la telemetría del NOC/SOC cuestionada cuando se abusa de las herramientas de administración.

  • Riesgo comercial: erosión de la confianza del cliente, pérdida de clientes y sanciones en contratos B2B si se incumplen los acuerdos de nivel de servicio o las adendas de seguridad.


4) Cómo funciona el tifón salino: TTP comunes

Si bien las técnicas varían según el entorno de la víctima, las directrices y los informes recientes destacan cuatro temas recurrentes:

  1. Explotación de dispositivos perimetrales. Las VPN, firewalls, puertas de enlace SASE y herramientas de administración remota sin parches o al final de su vida útil son los puntos de acceso iniciales preferidos. Preste especial atención a los dispositivos que no son visibles en EDR o que carecen de un registro robusto por defecto.

  2. Acceso a credenciales y "viviendo del terreno". Tras una vulneración, los actores recurren a herramientas de administración integradas (PowerShell, WMI, cmdlets), servicios nativos de Windows y marcos legítimos de administración remota para moverse lateralmente con mínima huella de malware. Esto dificulta la detección y el análisis del incidente.

  3. Larga permanencia y almacenamiento temporal. Tradecraft prioriza la persistencia silenciosa y el almacenamiento temporal de datos (especialmente metadatos valiosos para la inteligencia de señales). Se espera una exfiltración selectiva, no patrones de ransomware de asalto.

  4. Vías de la cadena de suministro y MSP. Las conexiones de confianza (proveedores de servicios gestionados, integradores de red, socios de host neutrales ) pueden convertirse en amplificadores para el acceso y la reutilización de credenciales. La herencia del control es un riesgo a nivel directivo, no solo un detalle de compras.


5) Por qué las telecomunicaciones son un terreno prioritario

Las telecomunicaciones brindan visibilidad a nivel nacional : quién habla con quién, cuándo y desde dónde (incluso sin contenido). El acceso a los registros detallados de llamadas y a los metadatos de los suscriptores ofrece un enorme valor de inteligencia. Los informes relacionados con el Tifón Salino señalan el robo de datos de telecomunicaciones como un resultado notable, y las agencias aliadas advierten que esta campaña es más amplia que las revelaciones anteriores , lo que indica que los operadores deben acelerar los programas de refuerzo.


6) Plan de 30-60-90 días para juntas directivas y CISO


Días 0–30: Cierre las puertas de entrada

  • Censo de dispositivos perimetrales y sprint de parches. Cree un inventario de fuentes confiables de dispositivos conectados a internet (VPN, firewalls, SD-WAN/routers, administración remota). Aplique parches o mitigue las vulnerabilidades explotadas; aísle o reemplace dispositivos EOS. Convierta esto en un programa con nombre, con un seguimiento semanal visible para la junta.

  • Reforzar el acceso remoto. Implementar MFA resistente al phishing , restringir solo desde ubicaciones conocidas y requerir aprobaciones por sesión para conexiones privilegiadas.

  • Encienda las luces. Asegúrese de que el registro esté completo en los dispositivos perimetrales; reenvíelos a un SIEM con una retención de ≥ 180 días . Si el dispositivo no puede registrar suficientes datos, trátelo como no confiable y segmente.


Días 31–60: Elimine el movimiento lateral fácil

  • Administración de acceso privilegiado. Implemente cuentas de seguridad, implemente administración inmediata , rote las credenciales locales del dispositivo y desactive los protocolos heredados.

  • Actualización de la segmentación de red. Separación de los planos de administración de los planos de usuario/datos; uso de hosts de salto privilegiados con grabación de sesiones.

  • Ingeniería de detección. Cree detecciones para el abuso de herramientas de administración (WMI, comunicación remota con PowerShell), patrones atípicos de RDP/WinRM y picos repentinos en la enumeración de directorios . Asigne a los objetivos de cobertura de MITRE ATT&CK vinculados a estas TTP.


Días 61–90: Demuestra resiliencia

  • Ejercicios de simulación y basados en amenazas. Ejecute un escenario similar a Salt-Typhoon : vulnerabilidad en dispositivos periféricos → robo de credenciales → intrusión lateral en los sistemas de datos de suscriptores. Incluya puntos de decisión de notificación a organismos legales, de comunicaciones y reguladores .

  • Controles de proveedores y MSP. Imponer la lista de materiales de software (SBOM) o, como mínimo, aplicar parches a los SLA y al aislamiento de credenciales para terceros. Exigir identidades independientes y secretos por inquilino .

  • Métricas de resultados. Informe a la junta directiva: tiempo medio de parcheo de CVE en el borde; porcentaje de sesiones privilegiadas mediante PAM; porcentaje de dispositivos con acceso a internet con telemetría completa; diferencias de cobertura D3E/ATT&CK mes a mes.


7) Prioridades específicas de las empresas de telecomunicaciones (MNO, NHN, TowerCos, mayoristas)

  • Interoperabilidad de núcleo y borde: auditar la exposición de SS7/Diameter/SBA y la seguridad de interconexión; revisar las interfaces de intercepción legal y la seguridad de mediación.

  • Zonas de datos de suscriptor y CDR: implementar diodos de datos o acceso negociado ; alertar sobre consultas de CDR masivas y exportaciones anómalas.

  • Socios de host neutrales y de celdas pequeñas: requieren atestaciones de línea base de configuración , administración segmentada y políticas de que las claves nunca abandonen al inquilino .

  • Puntos de contacto OT de TowerCo: Inventariar todos los sistemas remotos de telemetría, energía y control de acceso ; separar esas redes de gestión de la TI corporativa.

  • Comunicaciones de incidentes: Acuerde previamente los manuales de notificación a empresas, reguladores y clientes para eventos de exposición de metadatos .


8) Implicaciones legales, regulatorias y de adquisiciones

  • Sanciones y listas de entidades. Con empresas identificadas ahora acusadas de apoyar el espionaje, compare las listas de proveedores con las listas de sanciones y prepárese para una rápida sustitución si surgen dependencias. Esto es especialmente grave para los servicios gestionados y las herramientas de administración remota . Reuters

  • Riesgo de datos transfronterizos. Revise la base legal y la residencia de los datos para CDR/metadatos, especialmente cuando terceros tienen acceso administrativo.

  • Mejora contractual. Insertar adendas de seguridad que requieran acuerdos de nivel de servicio (SLA) de parches para dispositivos periféricos, evidencia de aislamiento de credenciales e informes rápidos de vulnerabilidades .


9) Cómo informar a su junta directiva

  • Amenaza: El tifón salino, vinculado con China, se está expandiendo y ahora está públicamente vinculado a las telecomunicaciones y a la infraestructura crítica a escala global.

  • Exposición: dispositivos perimetrales, administración remota, almacenes de identidad; espionaje de larga duración con técnicas de bajo ruido.

  • Acciones de este trimestre: sprint de parches de Edge, implementación de PAM, detección de abuso de herramientas de administración, aislamiento de credenciales de proveedores, prueba de mesa Salt-Typhoon.

  • KPI: % de dispositivos con acceso a Internet parcheados dentro del SLA; % de sesiones privilegiadas a través de PAM; cobertura de técnicas ATT&CK vinculadas a avisos recientes.


10) Perspectiva de cierre

El tifón salado es una amenaza estratégica, no oportunista : ataca las redes que sustentan la vida nacional y el poder estatal.

Para los operadores y los actores de infraestructura crítica, las ganancias más rápidas radican en cerrar las exposiciones de borde , fortalecer las identidades y garantizar que la telemetría realmente pueda detectar herramientas de administración “legítimas” que se utilizan de manera ilegítima.

Ahora que los gobiernos nombran a las empresas e imponen sanciones , cabe esperar más expectativas regulatorias y solicitudes de garantías por parte de los clientes y las autoridades.

Las organizaciones que puedan demostrar un progreso medible , con KPI claros , estarán en mejores condiciones para mantener a raya tanto a los atacantes como a los reguladores .

 
 

Entradas relacionadas

Ver todo
bottom of page