El grupo Salt Typhoon ha comprometido a Sistemi Informativi, filial al cien por cien de IBM en Italia. La intrusión apunta a una APT vinculada al Ministerio de Seguridad del Estado chino (MSS) y abre un boquete de ciberespionaje en el corazón de la subcontratación TI europea. Le adelanto lo esencial: lo grave no es el nombre de la vÃctima, sino el tipo de vÃctima.
Sistemi Informativi opera para administraciones públicas, banca y telecos en Italia. Es decir, gestiona infraestructura de terceros, administra entornos crÃticos, custodia credenciales privilegiadas. Cuando un proveedor asà cae, lo que cae con él es la cadena de suministro digital de medio paÃs. Y, por extensión, una parte del tejido institucional europeo que comparte estándares y proveedores.
AnatomÃa de la intrusión: cómo entra Salt Typhoon en una filial de IBM
Salt Typhoon, también catalogado como GhostEmperor o FamousSparrow según la firma que lo rastree, es la misma APT que en 2024 comprometió a las grandes operadoras estadounidenses —Verizon, AT&T, Lumen— y accedió a los sistemas de intercepción legal del FBI. No es un grupo de oportunidad. Es un actor estatal chino con paciencia industrial, presupuesto y un tradecraft depurado en una década de operaciones contra telecos, integradores y proveedores de servicios gestionados.
El vector usado contra Sistemi Informativi, según la atribución técnica que circula en la comunidad, combina explotación de vulnerabilidades en dispositivos de borde y movimiento lateral hacia entornos de gestión privilegiada. El patrón es el de siempre con esta APT: entrada por un equipo perimetral mal parcheado —routers Cisco, appliances de seguridad, gateways VPN—, despliegue de un rootkit en kernel para persistencia, y desde ahÃ, salto a los sistemas de administración del proveedor. Una vez dentro, lo que buscan no son datos finales: buscan llaves. Credenciales de administrador, certificados, accesos federados a los clientes del proveedor.
Eso convierte a la vÃctima en un trampolÃn. El cliente real no es Sistemi Informativi. Son sus clientes.
Por mi experiencia siguiendo a esta APT, y por lo que escribà hace años en El quinto elemento, sostengo que el ciberespionaje moderno ya no asalta el banco: asalta a quien limpia el banco por la noche. La intrusión en una filial de IBM Italia encaja exactamente en ese patrón. Si confirma la atribución, hablamos de una operación SIGINT de manual contra la cadena de suministro.
Por qué Europa estaba avisada y no ha reaccionado
El precedente directo es Operación SolarWinds (2020), atribuida al SVR ruso, que comprometió a 18.000 organizaciones a través de una actualización maliciosa del software Orion. Cinco años después, el mensaje no ha calado en la contratación pública europea. Los mismos integradores siguen acumulando contratos crÃticos sin que se les exija una arquitectura zero trust mÃnimamente seria, sin auditorÃas de código de terceros, sin segmentación efectiva entre clientes.
Italia no es una excepción. España tampoco. Me consta por fuentes consultadas que varias administraciones autonómicas operan sobre proveedores que comparten plataforma técnica con la afectada italiana. El CCN-CERT habrÃa elevado un aviso interno a finales de abril, sin comunicación pública, en lÃnea con la prudencia habitual de la casa.
El CNI no comenta. Como siempre.
Lo que sà está documentado es el patrón de Salt Typhoon contra OTAN. Las alertas de CISA publicadas durante el último año sitúan al grupo dentro de redes de telecomunicaciones en al menos ocho paÃses aliados. La actividad del CCN-CERT en este vector se ha intensificado, según los informes anuales del organismo, aunque la atribución pública a APTs chinas en España sigue siendo casi inexistente. Por motivos diplomáticos evidentes.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza aquà es nÃtido: ciberataque de cadena de suministro mediante APT estatal, con explotación de borde y persistencia en kernel. Lo veo asÃ: no es un golpe de efecto, es una operación de SIGINT estratégico de largo recorrido, diseñada para sostenerse en el tiempo y producir inteligencia continua sobre instituciones italianas y, por la naturaleza federada de los sistemas, sobre socios europeos.
Las agencias implicadas dibujan un triángulo conocido. Quien ataca: Salt Typhoon, atribuido con alta confianza al MSS chino por los analistas de Mandiant y por la firma estadounidense Volexity. Quien defiende: la AISE y la AISI italianas, con apoyo del Nucleo per la Cybersicurezza, además de la propia respuesta interna de IBM. Quien mira: Five Eyes, especialmente la NSA y el GCHQ, que llevan rastreando a este actor desde 2020; el BND alemán, preocupado por exposición cruzada; y el CNI español, en silencio pero con todos los radares encendidos. La Comisión Europea, a través del INTCEN, habrá recibido informe situacional.
El nivel de clasificación estimado del material en riesgo es alto. A juzgar por el tipo de cliente que opera Sistemi Informativi —administración pública italiana, sector financiero, infraestructuras—, estimo que parte del material accesible alcanza categorÃa Secreto en términos OTAN, con tramos de Top Secret cuando se trata de comunicaciones interministeriales y enlaces con servicios. No es exageración. Es lo que pasa cuando externalizas la gestión TI sin un perÃmetro contractual de inteligencia.
El precedente que conviene recordar no es solo SolarWinds. Es Operación Cloud Hopper (APT10, MSS, descubierta en 2017), donde China usó proveedores de servicios gestionados como puerta trasera a clientes en catorce paÃses. Nueve años después, mismo manual, distinto integrador. Y ahà está el matiz: si el oficio chino no cambia es porque sigue funcionando.
Reconozco la incertidumbre sobre el alcance final. La atribución técnica está respaldada, pero la cuantificación del material exfiltrado sigue siendo, a esta hora, una estimación. PermÃtame una última observación: el próximo informe trimestral de ENISA, previsto para julio, deberÃa incluir esta intrusión como caso de referencia. Si no lo hace, sabremos que en Bruselas, también, la cadena de suministro sigue siendo terreno cómodo para el MSS.
