El grupo Salt Typhoon ha comprometido a Sistemi Informativi, filial al cien por cien de IBM en Italia. La intrusión apunta a una APT vinculada al Ministerio de Seguridad del Estado chino (MSS) y abre un boquete de ciberespionaje en el corazón de la subcontratación TI europea. Le adelanto lo esencial: lo grave no es el nombre de la víctima, sino el tipo de víctima.
Sistemi Informativi opera para administraciones públicas, banca y telecos en Italia. Es decir, gestiona infraestructura de terceros, administra entornos críticos, custodia credenciales privilegiadas. Cuando un proveedor así cae, lo que cae con él es la cadena de suministro digital de medio país. Y, por extensión, una parte del tejido institucional europeo que comparte estándares y proveedores.
Anatomía de la intrusión: cómo entra Salt Typhoon en una filial de IBM
Salt Typhoon, también catalogado como GhostEmperor o FamousSparrow según la firma que lo rastree, es la misma APT que en 2024 comprometió a las grandes operadoras estadounidenses —Verizon, AT&T, Lumen— y accedió a los sistemas de intercepción legal del FBI. No es un grupo de oportunidad. Es un actor estatal chino con paciencia industrial, presupuesto y un tradecraft depurado en una década de operaciones contra telecos, integradores y proveedores de servicios gestionados.
El vector usado contra Sistemi Informativi, según la atribución técnica que circula en la comunidad, combina explotación de vulnerabilidades en dispositivos de borde y movimiento lateral hacia entornos de gestión privilegiada. El patrón es el de siempre con esta APT: entrada por un equipo perimetral mal parcheado —routers Cisco, appliances de seguridad, gateways VPN—, despliegue de un rootkit en kernel para persistencia, y desde ahí, salto a los sistemas de administración del proveedor. Una vez dentro, lo que buscan no son datos finales: buscan llaves. Credenciales de administrador, certificados, accesos federados a los clientes del proveedor.
Eso convierte a la víctima en un trampolín. El cliente real no es Sistemi Informativi. Son sus clientes.
Por mi experiencia siguiendo a esta APT, y por lo que escribí hace años en El quinto elemento, sostengo que el ciberespionaje moderno ya no asalta el banco: asalta a quien limpia el banco por la noche. La intrusión en una filial de IBM Italia encaja exactamente en ese patrón. Si confirma la atribución, hablamos de una operación SIGINT de manual contra la cadena de suministro.
Por qué Europa estaba avisada y no ha reaccionado
El precedente directo es Operación SolarWinds (2020), atribuida al SVR ruso, que comprometió a 18.000 organizaciones a través de una actualización maliciosa del software Orion. Cinco años después, el mensaje no ha calado en la contratación pública europea. Los mismos integradores siguen acumulando contratos críticos sin que se les exija una arquitectura zero trust mínimamente seria, sin auditorías de código de terceros, sin segmentación efectiva entre clientes.
Italia no es una excepción. España tampoco. Me consta por fuentes consultadas que varias administraciones autonómicas operan sobre proveedores que comparten plataforma técnica con la afectada italiana. El CCN-CERT habría elevado un aviso interno a finales de abril, sin comunicación pública, en línea con la prudencia habitual de la casa.
El CNI no comenta. Como siempre.
Lo que sí está documentado es el patrón de Salt Typhoon contra OTAN. Las alertas de CISA publicadas durante el último año sitúan al grupo dentro de redes de telecomunicaciones en al menos ocho países aliados. La actividad del CCN-CERT en este vector se ha intensificado, según los informes anuales del organismo, aunque la atribución pública a APTs chinas en España sigue siendo casi inexistente. Por motivos diplomáticos evidentes.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza aquí es nítido: ciberataque de cadena de suministro mediante APT estatal, con explotación de borde y persistencia en kernel. Lo veo así: no es un golpe de efecto, es una operación de SIGINT estratégico de largo recorrido, diseñada para sostenerse en el tiempo y producir inteligencia continua sobre instituciones italianas y, por la naturaleza federada de los sistemas, sobre socios europeos.
Las agencias implicadas dibujan un triángulo conocido. Quien ataca: Salt Typhoon, atribuido con alta confianza al MSS chino por los analistas de Mandiant y por la firma estadounidense Volexity. Quien defiende: la AISE y la AISI italianas, con apoyo del Nucleo per la Cybersicurezza, además de la propia respuesta interna de IBM. Quien mira: Five Eyes, especialmente la NSA y el GCHQ, que llevan rastreando a este actor desde 2020; el BND alemán, preocupado por exposición cruzada; y el CNI español, en silencio pero con todos los radares encendidos. La Comisión Europea, a través del INTCEN, habrá recibido informe situacional.
El nivel de clasificación estimado del material en riesgo es alto. A juzgar por el tipo de cliente que opera Sistemi Informativi —administración pública italiana, sector financiero, infraestructuras—, estimo que parte del material accesible alcanza categoría Secreto en términos OTAN, con tramos de Top Secret cuando se trata de comunicaciones interministeriales y enlaces con servicios. No es exageración. Es lo que pasa cuando externalizas la gestión TI sin un perímetro contractual de inteligencia.
El precedente que conviene recordar no es solo SolarWinds. Es Operación Cloud Hopper (APT10, MSS, descubierta en 2017), donde China usó proveedores de servicios gestionados como puerta trasera a clientes en catorce países. Nueve años después, mismo manual, distinto integrador. Y ahí está el matiz: si el oficio chino no cambia es porque sigue funcionando.
Reconozco la incertidumbre sobre el alcance final. La atribución técnica está respaldada, pero la cuantificación del material exfiltrado sigue siendo, a esta hora, una estimación. Permítame una última observación: el próximo informe trimestral de ENISA, previsto para julio, debería incluir esta intrusión como caso de referencia. Si no lo hace, sabremos que en Bruselas, también, la cadena de suministro sigue siendo terreno cómodo para el MSS.
