Ciberespionaje chino en EE.UU.: CIA desclasifica hackeo a Biden y 220 millones de votantes

Los documentos revelan que el grupo APT31 recopiló nombres, direcciones y filiación política de 220 millones de votantes, mientras Moscú repetía su operación de desprestigio contra Biden. El Pentágono enfatiza que no hubo alteración del recuento, pero el riesgo de espionaje futur

La CIA y la Oficina del Director de Inteligencia Nacional (ODNI) acaban de desclasificar documentos que confirman que el grupo de ciberespionaje chino APT31 pirateó la campaña presidencial de Joe Biden en 2020 y, en paralelo, recolectó los datos de registro de 220 millones de votantes estadounidenses. La revelación llega mientras el presidente Trump agitaba el fantasma del fraude electoral en un discurso del jueves, aunque los propios informes desclasificados subrayan que Pekín nunca intentó alterar el recuento.

Le adelanto que lo más inquietante no está en las urnas. El auténtico riesgo, tal y como describen los analistas de la CIA, es que la inteligencia militar china ha construido una base de datos mastodóntica con nombres, direcciones, números de teléfono y filiación política de prácticamente todo el censo estadounidense. Un repositorio que sirve para chantaje, coacción o reclutamiento de fuentes humanas a una escala sin precedentes.

Anatomía del hackeo: cómo APT31 convirtió 220 millones de registros electorales en un activo de espionaje

El tradecraft de APT31, un grupo persistente avanzado ligado al Ministerio de Seguridad del Estado chino (MSS), es ya una firma conocida en el mundo SIGINT. Según el World Intelligence Review de la CIA fechado el 1 de julio de 2020 —ahora público—, los operadores insertaban enlaces de seguimiento en correos electrónicos de los equipos de campaña. Al hacer clic, esos enlaces recogían metadatos de red y del sistema, mapeando la arquitectura interna para que el Ejército Popular de Liberación pudiera «taskear» las cuentas de correo en su sistema de inteligencia de señales. Una intrusión clásica de cyber espionage que no buscaba sabotaje ni alteración de votos, sino inteligencia pura y dura sobre quién sería la próxima administración.

Publicidad

El grupo APT31 lleva años aplicando la misma receta de exfiltración masiva a objetivos gubernamentales y corporativos. Aquí la novedad es el volumen: 220 millones de registros electorales. Traducido a oficio: una plantilla de reclutamiento gigantesca para identificar vulnerabilidades personales entre funcionarios, militares y políticos.

Lo escribí hace años en El quinto elemento: «El próximo 11S empezará con un clic». Y esta operación lo confirma. No necesitas destruir infraestructuras críticas cuando puedes acumular silenciosamente la información suficiente para desestabilizar procesos democráticos o coaccionar a figuras clave.

El historial del ciberespionaje chino: de OPM a las elecciones, pasando por Equifax

hackeo campaña Biden

El modus operandi no sorprende a quien haya seguido la actividad de los grupos APT chinos. En 2015, piratas del MSS reventaron las bases de la Oficina de Gestión de Personal (OPM) estadounidense y se llevaron los números de la Seguridad Social de 22 millones de empleados públicos. Dos años después, militares chinos infiltraron los servidores de Equifax y extrajeron datos personales de 145 millones de ciudadanos; el Departamento de Justicia lo calificó entonces como «el mayor robo de información personal identificable jamás perpetrado por actores patrocinados por un Estado». Con estos precedentes, la captura de los registros electorales parece una mera ampliación de la misma estrategia de acumulación silenciosa de big data humano.

Mientras tanto, Rusia tampoco se quedó de brazos cruzados. Los informes desclasificados del Consejo Nacional de Inteligencia confirmaron que Moscú repitió en 2020 la misma operación de desprestigio que ya usó contra Hillary Clinton en 2016: actores vinculados al Kremlin difundieron afirmaciones falsas sobre Joe Biden a través de intermediarios y reforzaron la candidatura de Trump en redes sociales. Nada de esto había trascendido a la prensa en su momento. Ahora lo sabemos porque los documentos los ha publicado la Casa Blanca, no porque Trump los haya aireado.

La lectura confidencial es otra: mientras los medios se centran en la narrativa del fraude que impulsa Trump, los servicios de inteligencia ven un patrón de acumulación de datos a largo plazo que trasciende un único ciclo electoral.

Publicidad

El riesgo no está en el recuento, sino en la capacidad de Pekín para chantajear, coaccionar o reclutar con una base de datos de 220 millones de votantes.

Hay un detalle técnico que merece atención. Los operadores de APT31 empleaban enlaces de seguimiento que recopilaban metadatos sobre la actividad en internet y el sistema operativo de las víctimas. Con esa información, el MSS podía exportar cuentas de correo completas e identificar otros objetivos de interés. Es la misma técnica que, según me consta por fuentes del Centro Criptológico Nacional, utilizan los grupos chinos APT10 y APT41 contra objetivos españoles del sector defensa y energía.

Dossier Moncloa: Ojos en la Sombra

La mayoría de los informes desclasificados indica que China no buscaba influir en el resultado electoral. Sin embargo, el material que acaban de hacer público la CIA y el ODNI revela una capacidad de intrusión que va mucho más allá de una campaña presidencial. El vector de amenaza es un ciberataque persistente de tipo APT, con exfiltración masiva de datos personales a través de enlaces de seguimiento y posterior integración en el sistema SIGINT del Ejército Popular de Liberación. La agencia atacante es, sin margen de duda, el MSS, y la herramienta concreta es APT31, un grupo cuyas tácticas, técnicas y procedimientos (TTP) están perfectamente documentadas por Mandiant y otros. La defensora es la comunidad de inteligencia estadounidense, y yo añadiría como terceros observadores a todos los servicios aliados de Five Eyes y, por supuesto, al CNI, que monitoriza de cerca la actividad de los APT chinos en suelo español.

A juzgar por la naturaleza del material —informes del World Intelligence Review y del Consejo Nacional de Inteligencia—, estimo que el nivel de clasificación original era Secreto o incluso Top Secret, degradado ahora a documentos públicos. El tradecraft descrito encaja con lo que ya advertí en mi libro que viene: «El próximo 11S empezará con un clic, y empezará por el sistema de alguien que no se ha actualizado». APT31 no necesita zero-days exóticos; le basta con que un asistente de campaña haga clic en un enlace. De hecho, el patrón es calcado al que vimos con los hackeos chinos a las campañas de Obama y McCain en 2008, cuando los servicios estadounidenses ya sospechaban que Pekín quería fichar a los futuros asesores de política exterior. Solo cambia la escala.

Si usted quiere una conexión directa con España, piénselo así: el CNI y el CCN-CERT dedican una parte creciente de sus recursos a vigilar a grupos chinos que, con idéntica filosofía, han intentado infiltrarse en nuestras infraestructuras críticas. La diferencia es que nosotros no tenemos 220 millones de votantes, pero sí ocho mil puntos vulnerables en la red eléctrica, el agua o el transporte. Y la doctrina de Pekín es la misma: acumular el máximo de datos posible, esperar y actuar cuando llegue el momento.