La filtración de KDDI ha expuesto hasta 14,2 millones de credenciales de correo electrónico en seis proveedores de internet japoneses. Un vector de ataque sencillo —una vulnerabilidad en un software de terceros— ha puesto al descubierto un activo de inteligencia de señales que cualquier servicio extranjero habría deseado explotar. Le hablo de un operador de telecomunicaciones con 45.000 empleados y 32.400 millones de dólares de facturación anual, el corazón de las comunicaciones del país. El incidente, detectado el pasado 17 de junio, no solo compromete buzones privados: entrega un mapa de contactos, rutinas y vínculos sociales de millones de japoneses.
La lectura confidencial es clara. KDDI es una puerta de entrada a la infraestructura crítica de Japón, un aliado central de Estados Unidos en el Indo-Pacífico. Cualquier agencia de inteligencia que haya accedido a esas credenciales habrá obtenido, de un solo golpe, la materia prima con la que se construyen las operaciones de HUMINT del siglo XXI: el phishing selectivo, la ingeniería social a gran escala y el spear-phishing capaz de saltar la autenticación de dos factores si las contraseñas viajaban en texto plano.
KDDI asegura que bloqueó al atacante de inmediato y que trabajaba con las filiales afectadas —STNet, JCOM, Chubu Telecommunications, Nifty y Biglobe— para reforzar las defensas. Sin embargo, la compañía admite que la investigación sigue en curso y que no conoce el número exacto de cuentas comprometidas. La horquilla de 14,22 millones incluye clientes actuales, antiguos e incluso cuentas inactivas, lo que diluye el impacto real. Pero no espere a que se precise la cifra: un cúmulo de direcciones de correo válidas con sus contraseñas asociadas ya circula en foros clandestinos.
La vía de entrada fue un software de terceros sin identificar. Esta opacidad es, en sí misma, un hallazgo de contrainteligencia. Si la vulnerabilidad residía en un componente de mensajería, en un gestor de correo o en una herramienta de administración remota, el atacante habría necesitado conocimiento previo de la arquitectura interna. No me extrañaría que, cuando se conozca el nombre del proveedor, aparezcan vínculos con vulnerabilidades previamente explotadas por grupos APT que operan en la región. La cadena de suministro sigue siendo el talón de Aquiles del sector.
Anatomía del ataque: cómo un fallo en la cadena de suministro abre la puerta al SIGINT
El atacante no necesitó romper el cifrado de extremo a extremo ni vulnerar los servidores de KDDI. Bastó con descubrir un agujero en una pieza de software que la corporación confiaba para gestionar parte de su sistema de correo. Esta modalidad, conocida como ataque a la cadena de suministro, es la favorita de los servicios de inteligencia de señales porque les permite recolectar credenciales sin levantar sospechas durante semanas o meses.
KDDI ha confirmado que algunas contraseñas se almacenaban en forma de hash o cifradas, pero no ha detallado el porcentaje ni el algoritmo empleado. Si un porcentaje significativo viajaba en texto plano —algo que, por el tono del comunicado, parece plausible—, cualquier actor con acceso a la base de datos podría haber iniciado sesión en millones de buzones sin necesidad de fuerza bruta. La combinación de correo y contraseña es también el punto de partida para ataques de credential stuffing contra otros servicios, desde banca en línea hasta redes sociales, multiplicando el daño mucho más allá del correo electrónico.
No se equivoque conmigo: el valor de esta filtración para una agencia de inteligencia extranjera no está en el espionaje masivo de ciudadanos anónimos, sino en la capacidad de cruzar esos datos con otras fuentes —listas de empleados de ministerios, contactos de diplomáticos, suscripciones a boletines especializados— para construir el perfil exacto de un objetivo de alto valor. Es SIGINT puro, pero con una capa de HUMINT encubierta: el analista que sabe a quién leer el correo.
Japón en el punto de mira: un historial de ciberoperaciones que ningún servicio ignora
Japón ha sido objetivo recurrente de campañas de ciberespionaje atribuidas a China, Corea del Norte y Rusia. En 2020, el grupo APT10 (atribuido al MSS chino) atacó al Ministerio de Defensa japonés mediante un ataque de watering hole. Un año después, el grupo Lazarus —vinculado a Pyongyang— se infiltró en varias empresas de tecnología niponas. Y en 2023, la Agencia de Seguridad Nacional japonesa detectó una intrusión del SVR ruso en una operadora de telecomunicaciones de menor tamaño.
El patrón se repite: el atacante no busca destruir, sino recopilar silenciosamente. Las credenciales de correo son el primer escalón de cualquier operación de inteligencia de larga duración. Si el responsable de la brecha en KDDI es un Estado, habrá dado un paso de gigante en la recolección pasiva de inteligencia sobre la sociedad japonesa y, por extensión, sobre los intereses estadounidenses que se apoyan en ella.
Un cúmulo de 14 millones de credenciales no es un accidente: es una mina de oro para el que sepa cruzar datos y perfilar objetivos de alto valor.
Las seis compañías afectadas actúan como proveedores regionales de internet, a menudo ofreciendo correo electrónico como servicio añadido. Eso significa que entre los afectados hay desde estudiantes hasta funcionarios locales, pasando por pequeños empresarios y jubilados. La naturaleza dispersa de la muestra la convierte en una herramienta estadística formidable para quien quiera estudiar el tejido socioeconómico del país.
Dossier Moncloa: Ojos en la Sombra
Desde el punto de vista del oficio, el vector de amenaza es un ciberataque a la cadena de suministro con recolección masiva de credenciales. La agencia atacante no ha sido identificada, pero la sofisticación para explotar una vulnerabilidad desconocida en un software de terceros y la capacidad de moverse sin detección durante un tiempo indeterminado encajan con el perfil de un grupo APT patrocinado por un Estado. La defensora es KDDI y las ISP filiales, apoyadas por el Centro Nacional de Ciberseguridad japonés. Los terceros interesados son evidentes: Estados Unidos, cuyos servicios de inteligencia colaboran estrechamente con Tokio, y cualquier otro miembro de los Cinco Ojos que desee evaluar si sus propios proveedores de telecomunicaciones podrían ser víctimas de un ataque similar.
Estimo que el nivel de clasificación del material expuesto es «Sin Clasificar pero Sensible». No se trata de secretos de Estado, pero sí de datos personales cuya agregación permite inferir patrones de comportamiento y vulnerabilidades de seguridad nacional. Si yo estuviera en el CNI, estaría ahora mismo revisando los contratos de los principales proveedores de correo electrónico que prestan servicio a la administración española. Porque la lección de KDDI es nítida: basta con un eslabón débil en la cadena de suministro para que toda la fortaleza se desmorone.
Esta brecha nos recuerda el caso de SolarWinds en 2020, cuando un atacante —atribuido al SVR— logró infiltrarse en miles de organizaciones a través de una actualización de software legítima. La diferencia es que aquí el botín no fueron documentos clasificados, sino las llaves de millones de buzones. Pero el principio es el mismo: la confianza en terceros es el vector más rentable para el espionaje moderno. Y en un mundo donde el correo electrónico sigue siendo la columna vertebral de la comunicación profesional y personal, una base de datos de credenciales es el equivalente digital de un listín telefónico completo con la dirección y las llaves de la casa.
He escrito en alguna ocasión que «el próximo 11S no se anunciará con un avión, sino con un clic». Pues bien, este tipo de filtraciones masivas son el combustible que alimenta ese clic. No lo olvide.
