El espionaje internacional no siempre tiene que ver con malware sofisticado y vulnerabilidades de día cero. A veces es tan sencillo como hacerse pasar por otra persona para pedir un favor.
Durante cuatro años, un ingeniero aeroespacial chino hizo precisamente eso. Decenas de investigadores de la NASA, del ejército estadounidense y de las principales universidades le proporcionaron exactamente lo que les pidió, y es posible que, al hacerlo, infringieran la legislación estadounidense.
Se llama Song Wu. Figura en la lista de personas buscadas por el FBI desde septiembre de 2024, acusado de 14 delitos de fraude electrónico y 14 delitos de robo de identidad con agravantes, y sigue en libertad.
El trabajo diario de Wu consistía en ejercer de ingeniero en la Corporación de la Industria Aeronáutica de China (AVIC), un conglomerado estatal del sector aeroespacial y de defensa con sede en Pekín y más de 400 000 empleados. Estados Unidos ha incluido a AVIC y a varias de sus filiales en una lista de sanciones.
Su actividad paralela era más sencilla. Entre enero de 2017 y diciembre de 2021, Wu creó cuentas de correo electrónico suplantando la identidad de investigadores e ingenieros estadounidenses reales y, a continuación, envió correos electrónicos a sus colegas solicitándoles código fuente y software de propiedad exclusiva. Se centró en empleados de la NASA, la Fuerza Aérea, la Armada, el Ejército y la FAA, así como en profesores de universidades de todo Estados Unidos.
Cuando el software se convierte en un arma
Las aplicaciones que Wu buscaba se centran en la ingeniería aeroespacial y la dinámica de fluidos computacional. Se trata del tipo de propiedad intelectual que contribuye al desarrollo de misiles tácticos avanzados y a la evaluación del rendimiento de las armas, y entra de lleno en el ámbito de los controles de exportación de EE. UU., según la Oficina del Inspector General de la NASA. Compartirla con la persona equivocada, aunque sea por accidente, constituye un delito federal.
Algunas víctimas sí enviaron el código solicitado. Según la cuidadosa formulación de la OIG, estaban infringiendo «sin saberlo» la legislación sobre control de exportaciones.
Cómo una campaña de cuatro años acabó finalmente
No fue un cortafuegos lo que delató a Wu. Fue una pista.
La División de Delitos Cibernéticos de la NASA recibió un aviso de que alguien había creado una cuenta de Gmail haciéndose pasar por un reconocido profesor de ingeniería aeroespacial que colaboraba habitualmente con la NASA. A partir de esa única pista, los investigadores desmantelaron una campaña que había atacado discretamente a decenas de investigadores del Gobierno federal y del mundo académico.
La OIG también señaló las pistas reveladoras: Wu solicitó el mismo software en varias ocasiones y nunca explicó por qué lo necesitaba. Son indicios que cualquiera habría podido detectar en una tarde tranquila si se hubiera fijado.
¿Qué nos depara el futuro?
La campaña de Wu funcionó durante cuatro años utilizando nada más sofisticado que cuentas de correo electrónico falsas y un buen análisis de los destinatarios. Él es solo un ingeniero, pero el problema va mucho más allá de su persona.
El entonces director del FBI, Christopher Wray, declaró ante la Select de la Cámara de Representantes en 2024 que:
«China cuenta con un programa de piratería informática más amplio que el de todas las demás grandes potencias juntas».
Según él, hackers chinos hackers superando en número al personal cibernético del FBI en una proporción de 50 a 1, incluso si todos los agentes cibernéticos estadounidenses se dedicaran exclusivamente a eso.
La ingeniería social sigue siendo un problema, y los suplantadores de identidad son cada vez más convincentes gracias al uso de deepfake . Los delincuentes online están utilizando la clonación de voz e incluso deepfake para infiltrarse en sus víctimas haciéndose pasar por candidatos a un puesto de trabajo. Otros, por su parte, dan la vuelta al guion y se hacen pasar por reclutadores en LinkedIn engañar a los posibles candidatos y que descarguen malware.
El spear-phishing ya era un problema de por sí cuando se trataba de un tipo en Pekín con una cuenta de Gmail. Se convertirá en un problema mucho mayor cuando el próximo Wu utilice IA generativa para redactar los correos electrónicos, imite el estilo de redacción de un investigador real y aplique la estrategia a velocidad de máquina en miles de bandejas de entrada.
Navega como si nadie te estuviera mirando.
Malwarebytes Privacy VPN tu conexión y nunca registra lo que haces, así que la próxima noticia que leas no tiene por qué parecerte algo personal.Pruébalo gratis →
