El FBI califica como “incidente cibernético grave” el presunto hack chino contra su sistema de vigilancia

Un incidente que el FBI no suele reconocer con alegría

El FBI ha determinado que el presunto hack atribuido a China contra uno de sus sistemas de vigilancia constituye un “incidente cibernético grave”. La calificación no es un adorno administrativo: según la ley estadounidense, puede implicar la obligación de avisar al Congreso en un plazo de siete días cuando una intrusión digital probablemente vaya a causar un daño demostrable a la seguridad nacional de Estados Unidos.

La decisión sugiere que los atacantes pudieron acceder con éxito a una cantidad considerable de información sensible almacenada directamente en sistemas del propio FBI. Si eso se confirma, no sería precisamente un buen día para la contrainteligencia estadounidense. Todo lo contrario.

Qué implica esa categoría

Bajo la ley FISMA, una intrusión puede superar el umbral de incidente grave si incluye la extracción o compromiso de datos personales identificables, o si plantea riesgos agudos para:

• la seguridad nacional
• las relaciones exteriores
• la confianza pública
• las libertades civiles de los estadounidenses

Cynthia Kaiser, exsubdirectora adjunta de la división cibernética del FBI, afirmó que no tiene constancia de que la agencia haya emitido una determinación de este tipo sobre un ataque contra sus propios sistemas al menos desde 2020.

“Los umbrales de FISMA son bastante altos, y solo unas pocas agencias declaran un incidente cibernético grave cada año”, señaló Kaiser.

Qué dijo el FBI y qué no quiso decir

Un portavoz del FBI evitó comentar la declaración y remitió a una respuesta previa sobre el incidente, fechada a principios de marzo: “El FBI identificó y abordó actividades sospechosas en las redes del FBI, y hemos aprovechado todas las capacidades técnicas para responder”.

Siguiendo las directrices de FISMA, una intrusión puede alcanzar ese nivel si afecta a datos personales identificables o supone un riesgo serio para la seguridad nacional. En este caso, no está claro qué hallazgo concreto llevó al FBI a tomar la decisión.

Lo que reveló la notificación al Congreso

En una comunicación enviada al Congreso en marzo, y revisada por POLITICO, el FBI informó de que unos hackers no identificados parecían haber entrado en un sistema de la agencia aprovechando la infraestructura de un proveedor comercial de servicios de internet. La agencia describió esa técnica como una muestra de los “sofisticados tácticas” del grupo.

La notificación también indicaba que el sistema afectado contenía:

• devoluciones derivadas de procesos legales, como registros de pen register y trap and trace
• información personal identificable relacionada con sujetos de investigaciones del FBI

Estos dispositivos permiten a las fuerzas de seguridad monitorizar llamadas hacia o desde un número concreto, o las webs visitadas por un dispositivo conectado a internet. No registran el contenido de las comunicaciones, pero la información obtenida sigue siendo muy valiosa para servicios de inteligencia extranjeros o grupos criminales organizados, porque puede revelar a quién vigila el FBI o qué investigaciones tiene abiertas.

Un patrón que no sorprende, aunque sí preocupa

La brecha del sistema de vigilancia del FBI no parece vinculada con un compromiso reciente de los correos personales del director del FBI, Kash Patel, que se atribuyó a actores vinculados con Irán.

Sí encaja, en cambio, con una tendencia mucho más amplia: hackers chinos han llegado a un nivel en el que pueden penetrar con regularidad algunos de los sistemas de seguridad nacional más sensibles de Estados Unidos.

El senador Mark Warner, demócrata por Virginia y principal portavoz de su partido en el Comité de Inteligencia del Senado, lo resumió así: “Este incidente es otro recordatorio contundente de que la amenaza de adversarios cibernéticos sofisticados como China no ha desaparecido, de hecho, crece y se vuelve más agresiva cada día”.

Respuesta interinstitucional, de momento poco clara

Cuando una agencia declara un incidente grave bajo FISMA, también debería activarse un mecanismo de respuesta cibernética entre agencias. No está claro si eso ya ha ocurrido ni si el ataque ha sido contenido.

La Casa Blanca y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras derivaron las consultas al FBI. La NSA no respondió a las peticiones de comentario.

Según una primera fuente estadounidense y una tercera con conocimiento de la reunión, la Casa Blanca celebró a principios de marzo un encuentro sobre la brecha con responsables del FBI, la NSA y la CISA.

El contexto: Volt Typhoon, Salt Typhoon y una larga lista de problemas

China ha utilizado antes a proveedores comerciales de comunicaciones como punto de entrada a redes federales o para acceder a datos sensibles de seguridad nacional.

Entre los grupos atribuidos a Pekín, Volt Typhoon ha logrado infiltrarse en infraestructuras críticas de Estados Unidos, incluidos puertos, instalaciones de agua y subestaciones eléctricas. Por su parte, Salt Typhoon ha comprometido a algunos de los mayores proveedores de telecomunicaciones del país.

En ese caso, revelado por primera vez a finales de 2024, los hackers chinos pudieron extraer registros de llamadas de millones de estadounidenses, ver datos de escuchas del FBI y robar comunicaciones sin cifrar del teléfono de Donald Trump, entonces candidato presidencial.

Una fuente estadounidense sostuvo que el FBI habría reaccionado con rapidez para tratar de contener el incidente. Aun así, reconoció que resulta “bochornoso” que el propio buró haya sido atacado por los mismos actores que debe vigilar.

Y, por si quedaba duda, la lección técnica sigue siendo la misma: cualquier vulnerabilidad sin parchear o cualquier debilidad de arquitectura acaba siendo aprovechada por un adversario de este nivel. Porque, al parecer, la sofisticación ajena no descansa.