Palo Alto Networks optó por no vincular a China con una campaña global de ciberespionaje que la firma expuso la semana pasada por temores de que la compañía de ciberseguridad o sus clientes pudieran enfrentar represalias de Beijing, según dos personas familiarizadas con el asunto.
Las fuentes dijeron que los hallazgos de Palo Alto de que China estaba vinculada a la creciente ola de piratería informática fueron revertidos tras la noticia del mes pasado, reportada primero por Reuters , de que Palo Alto era una de las aproximadamente 15 compañías estadounidenses e israelíes de ciberseguridad cuyo software había sido prohibido por las autoridades chinas por razones de seguridad nacional. Un borrador del informe de la Unidad 42 de Palo Alto, la división de inteligencia de amenazas de la compañía, afirmaba que los prolíficos hackers, apodados «TGR-STA-1030» en un informe publicado el jueves de la semana pasada, estaban vinculados a Pekín, según las dos fuentes.
El informe final, en cambio, describía al grupo de hackers de forma más vaga como un «grupo alineado con un estado que opera desde Asia».
Atribuir ataques sofisticados es notoriamente difícil, y los debates sobre la mejor manera de atribuir la responsabilidad de las intrusiones digitales son comunes entre los investigadores de ciberseguridad. Sin embargo, Palo Alto ha atribuido ataques a China en el pasado, incluso en septiembre pasado, y las fuentes dijeron a Reuters que los investigadores de la Unidad 42 estaban seguros, basándose en una gran cantidad de pistas forenses, de que la campaña de piratería recién descubierta también estaba vinculada a China.
El cambio, dijeron las fuentes, fue ordenado por los ejecutivos de Palo Alto porque estaban preocupados por la prohibición del software y temían provocar represalias de las autoridades chinas, ya sea contra el personal de la compañía en China o contra sus clientes en otros lugares. Las fuentes no identificaron a los ejecutivos que tomaron la decisión de suavizar las conclusiones del informe ni proporcionaron el texto preciso que figuraba en él antes del cambio. Hablaron bajo condición de anonimato, ya que no estaban autorizados a hablar del asunto.
Cuando se le pidió que comentara sobre el lenguaje supuestamente suavizado, Palo Alto emitió una declaración a Reuters que decía en parte: «La atribución es irrelevante».
La vicepresidenta de comunicaciones globales de Palo Alto, Nicole Hockin, declaró en correos electrónicos posteriores a Reuters que la declaración pretendía comunicar que la falta de atribución en el informe de Palo Alto no estaba correlacionada con las «regulaciones de compras en China» y que cualquier sugerencia en contrario era «especulativa y falsa». Añadió que la elección del lenguaje en el informe de Palo Alto reflejaba «la mejor manera de informar y proteger a los gobiernos sobre esta campaña generalizada».
La Embajada de China en Washington declaró su oposición a «toda forma de ciberataque». Añadió que la atribución de los ataques informáticos era «una cuestión técnica compleja» y que esperaba que «las partes pertinentes adoptaran una actitud profesional y responsable, basando su caracterización de los ciberincidentes en pruebas suficientes, en lugar de especulaciones y acusaciones infundadas».
‘LAS CAMPAÑAS EN LA SOMBRA’
Palo Alto detectó por primera vez el grupo de piratas informáticos TGR-STA-1030 a principios de 2025, según el informe, En una iniciativa de gran alcance que Palo Alto denominó «Las Campañas de la Sombra», los espías presuntamente realizaron misiones de reconocimiento en casi todos los países del mundo e ingresaron con éxito en organizaciones gubernamentales y de infraestructura crítica en 37 países.
Aunque no se mencionó a China por su nombre, quienes lean atentamente el informe de Palo Alto podrían tener la impresión de que Pekín estuvo involucrado.
Por ejemplo, los investigadores observaron que la actividad de los hackers coincidía con la zona horaria GMT+8, que incluye a China, y que los hackers parecían centrarse en la infraestructura del gobierno checo tras una reunión en agosto entre el presidente checo y el Dalai Lama, el líder espiritual del Tíbet a quien Pekín ha considerado durante mucho tiempo como una espina en su costado. El informe también señaló que los hackers atacaron a Tailandia el 5 de noviembre, antes de una «visita» diplomática.
Los detalles del viaje no se proporcionaron en el informe, pero la semana siguiente marcó la primera visita de estado de un rey tailandés reinante a Pekín. Los investigadores externos que revisaron el informe de Palo Alto dijeron que habían visto una actividad similar que atribuyeron a operaciones de espionaje patrocinadas por el estado chino. “Nuestra evaluación es que esto es parte de un patrón más amplio de campañas globales vinculadas a China que buscan inteligencia y acceso interno persistente a organizaciones de interés para” Beijing, dijo Tom Hegel, investigador senior de amenazas de SentinelOne.
Palo Alto afirma en su sitio web que cuenta con cinco oficinas en China, incluyendo sedes en Pekín, Shanghái y Cantón. La red social profesional LinkedIn incluye a más de 70 empleados de Palo Alto en China, entre ellos ingenieros y gerentes de cuentas. Un académico afirmó que el incidente ilustra las disyuntivas que suelen afrontar las empresas de ciberseguridad, especialmente las que tienen presencia global, al considerar si denunciar las campañas de ciberespionaje patrocinadas por Estados. Por un lado, exponer a espías extranjeros puede generar elogios de la industria y publicidad positiva. Por otro lado, enfrentarse a un servicio de inteligencia extranjero puede generar represalias.
“Siempre se ha corrido el riesgo de dar nombres”, dijo Thomas Rid, profesor de la Universidad Johns Hopkins, quien ha estudiado la historia de la atribución cibernética. “Siempre fue desagradable, y si tienes personal sobre el terreno, como las grandes empresas, eso es un factor a considerar. ¿Estás poniendo en riesgo a tu propio personal, a tu personal local?”
Reporte de Raphael Satter en Washington y AJ Vicens en Detroit; Edición de Chris Sanders y Matthew Lewis
Fuente: reuters
