Google Threat Intelligence Group atribuye a China una campaña de ciberespionaje que robó datos médicos durante más de un año sin ser detectada. El malware, bautizado como InfiniteRed, fue diseñado específicamente para comprometer servidores REDCap, una plataforma ampliamente utilizada en investigación médica y científica para gestionar bases de datos y encuestas clínicas. La operación afectó a una institución norteamericana cuya identidad no ha sido revelada y, según los investigadores, el actor de la amenaza —rastreado como UNC6508— mantuvo acceso ininterrumpido desde septiembre de 2023 hasta noviembre de 2025.
Le adelanto que esta campaña introduce una técnica de exfiltración que no habíamos visto antes en actores chinos. Y eso, en el oficio de la ciberinteligencia, es siempre una mala noticia.
InfiniteRed: un malware a medida para robar investigación médica
El compromiso inicial se produjo, según GTIG, a través de versiones antiguas y vulnerables de REDCap expuestas en internet. Aunque el vector exacto no ha podido determinarse con certeza, los atacantes sondearon sistemáticamente servidores desactualizados hasta encontrar un punto de entrada. Tres meses después de la intrusión inicial, desplegaron InfiniteRed, un implante modular diseñado expresamente para entornos REDCap.
El malware se compone de tres módulos. El primero garantiza la persistencia y se ocupa de las actualizaciones del propio implante. El segundo es un recolector de credenciales que captura nombres de usuario y contraseñas introducidos en las páginas de inicio de sesión de REDCap, los cifra y los almacena en las tablas de la base de datos local para su posterior recuperación. El tercer módulo es una puerta trasera que recibe comandos camuflados en cookies HTTP.
Esa puerta trasera ofrece al atacante un abanico completo: ejecutar comandos de shell, subir y descargar archivos del servidor, lanzar consultas SQL arbitrarias, recuperar credenciales robadas e incluso borrar los registros de esas credenciales para cubrir su rastro. Un kit de administración remota con todas las de la ley.
Pero lo que de verdad eleva la sofisticación de esta campaña es el método de exfiltración. UNC6508 abusó de las reglas de cumplimiento de contenido, una funcionalidad legítima presente en herramientas empresariales en la nube. Tras obtener acceso de administrador, crearon una regla bautizada ‘Patroit’ que escaneaba la organización en busca de palabras clave relacionadas con investigación médica, tecnología avanzada, temas militares y política geoestratégica. Cualquier coincidencia se reenviaba automáticamente como copia oculta a una cuenta de Gmail, ya desactivada por Google: BebitaBarefoot774@gmail.com.
La exfiltración por reglas de compliance no deja huellas en los registros de Correo convencionales. Es como robar el correo desde dentro del propio sistema de clasificación.
El nivel de seguridad operativa observado por UNC6508 es notable. Utilizaron infraestructura de proxy residencial con sede en Estados Unidos, routers comprometidos, servidores privados virtuales, técnicas de repetición de credenciales e infraestructura dedicada exclusivamente a la exfiltración de datos. Todo para diluir la atribución y complicar la respuesta de los equipos de defensa.
El historial chino en el sector sanitario: de la COVID-19 a la ingeniería genética
No es la primera vez que un actor vinculado a China apunta al sector sanitario occidental. Durante la pandemia, APT31 —atribuido al Ministerio de Seguridad del Estado chino— lanzó campañas contra laboratorios que investigaban vacunas contra la COVID-19 en Estados Unidos, Reino Unido y Canadá. En 2021, el Departamento de Justicia estadounidense imputó a cuatro miembros del MSS por aquellos ataques. La pauta se repite: el objetivo no es interrumpir servicios, sino absorber propiedad intelectual y datos clínicos que acorten la ventaja competitiva de Pekín en biomedicina.
Lo escribí hace años en El quinto elemento: «El próximo 11S empezará con un clic». Y aunque aquella frase la reservaba para infraestructuras críticas, el sector sanitario se ha convertido en un blanco igual de goloso. Los datos de ensayos clínicos, las secuencias genéticas, las políticas de salud pública a escala estatal y los indicadores de preparación militar tienen un valor estratégico que trasciende lo puramente económico. Son inteligencia de Estado.
GTIG notificó a múltiples organizaciones en Estados Unidos y Canadá que habían sido comprometidas con InfiniteRed. Las áreas de investigación afectadas abarcan «desde el descubrimiento molecular y los ensayos clínicos de fármacos hasta las políticas de salud pública a nivel estatal y la preparación militar». Una cosecha de datos que habría llevado años recopilar por medios convencionales.
Dossier Moncloa: Ojos en la Sombra
La campaña InfiniteRed me obliga a abrir el dossier con tres consideraciones que van más allá de la mera crónica técnica. La primera es el vector de amenaza: estamos ante un ciberataque de tipo APT con un implante modular a medida, diseñado para un software concreto —REDCap— y desplegado con una paciencia operativa que delata recursos estatales. No es un ataque oportunista; es una operación quirúrgica.
La segunda consideración son las agencias implicadas. En el lado atacante, UNC6508 está vinculado por GTIG a China. Sin una atribución nominal a una unidad concreta —no se menciona al MSS, al EPL ni a un grupo APT numerado—, pero la calidad del desarrollo, la disciplina operativa y los objetivos encajan con el perfil de actores como APT41 o el propio APT31. En el lado defensor, una institución médica norteamericana cuyo nombre no se ha hecho público, respaldada por Google Threat Intelligence Group en la detección y notificación. Quienes observan desde la barrera somos nosotros: el CNI y el CCN-CERT, que monitorizan este tipo de amenazas porque los servidores REDCap también se utilizan en hospitales y centros de investigación españoles. Si UNC6508 ha probado suerte en Norteamérica, no hay razón para pensar que no lo haya hecho ya en Europa.
La tercera es el nivel de clasificación estimado. A juzgar por la naturaleza del material sustraído —ensayos clínicos, políticas de salud pública, indicadores de preparación militar—, estimo que parte de esos datos alcanzarían el nivel de Secreto o, como mínimo, Confidencial si estuvieran bajo custodia de un organismo estatal. El hecho de que estuvieran en manos de una institución privada no reduce su sensibilidad; simplemente los deja fuera del perímetro de protección del CNI. Y esa es una lección que llevamos años sin aprender.
El precedente histórico que me viene a la cabeza es la Operación Cloudhopper, atribuida a APT10, que entre 2017 y 2018 sustrajo terabytes de propiedad intelectual de empresas tecnológicas y sanitarias gestionadas por proveedores de servicios en la nube. La diferencia ahora es el grado de especialización: InfiniteRed no es un malware genérico; es una llave maestra fabricada para una cerradura concreta. Eso cuesta dinero y tiempo de desarrollo. Mucho dinero.
Reconozco que me preocupa la técnica de exfiltración mediante reglas de cumplimiento de contenido. Es la primera vez que la veo documentada en un actor chino, y es endiabladamente eficaz porque explota una funcionalidad que los administradores de sistemas suelen considerar inofensiva. Las reglas de compliance están ahí para prevenir fugas de datos, no para provocarlas. El atacante ha convertido una herramienta defensiva en un vector de exfiltración, y eso demuestra un conocimiento íntimo de la arquitectura empresarial en la nube.
Lo veo como un salto cualitativo en el oficio de estos actores. Hasta ahora, la exfiltración china solía apoyarse en servicios legítimos como Dropbox, Google Drive o GitHub. Utilizar las reglas de compliance internas es otra cosa: es moverse dentro del castillo con el uniforme de la guardia. Y mientras los equipos de seguridad miran hacia fuera, el ladrón ya está dentro, reenviándose el botín a su cuenta de Gmail.
El cierre de este dossier es necesariamente abierto. Google ha compartido reglas YARA e indicadores de compromiso para que los administradores de REDCap puedan escanear sus entornos. La recomendación es clara: actualizar a las últimas versiones, eliminar despliegues heredados, activar la autenticación multifactor en cuentas con altos privilegios y desplegar credenciales de sesión vinculadas al dispositivo. Pero la pregunta que me hago es cuántas instituciones españolas con servidores REDCap van a leer esas recomendaciones. Y cuántas lo harán antes de que UNC6508 —u otro grupo con un encargo parecido— llame a su puerta.
No lo sé. Dejémoslo en un ‘ya veremos’.
