El Tesoro de EE.UU. Afectado por Ciberataque Vinculado a un Grupo Patrocinado por el Estado Chino

El Departamento del Tesoro de los Estados Unidos ha confirmado que sufrió una importante violación de ciberseguridad el 8 de diciembre de 2024, en la que un ciberactor patrocinado por el estado chino obtuvo acceso no autorizado a sus sistemas.

La brecha fue vinculada a un proveedor de software de terceros, BeyondTrust, que había estado proporcionando servicios de soporte técnico remoto para los usuarios finales de las Oficinas Departamentales (DO) del Tesoro.

En una carta a los legisladores, el Departamento del Tesoro detalló el incidente y esbozó las medidas tomadas en respuesta. La brecha ocurrió cuando el actor de la amenaza accedió a una clave utilizada por BeyondTrust para asegurar un servicio basado en la nube.

Con esta llave, el atacante eludió las medidas de seguridad, se infiltró remotamente en las estaciones de trabajo del Tesoro y accedió a documentos no clasificados almacenados en los sistemas afectados.

Al descubrir la brecha, el Tesoro notificó inmediatamente a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), al Buró Federal de Investigación (FBI) y a la Comunidad de Inteligencia.

También se recurrió a investigadores forenses de terceros para evaluar la situación y determinar el alcance total del ataque. Según el Tesoro, la evidencia disponible vincula el incidente con un grupo de Amenaza Persistente Avanzada (APT) patrocinado por el estado chino.

CNN señala que el número exacto de estaciones de trabajo infiltradas sigue siendo incierto. Sin embargo, un portavoz del Tesoro confirmó que se accedió a “varias” estaciones de trabajo de usuarios del Tesoro. También es incierto si el Tesoro ha evaluado completamente el alcance del daño causado por la violación.

Tom Hegel, investigador de amenazas en la empresa de ciberseguridad SentinelOne, señaló a Reuters que el incidente de seguridad reportado coincide con un patrón de comportamiento conocido por los grupos afiliados a la República Popular China (PRC), particularmente su creciente dependencia de los servicios de terceros de confianza, una táctica que se ha vuelto más prevalente en los últimos años.

El servicio comprometido ha sido retirado desde entonces, y hasta el momento, no hay indicación de que el actor de la amenaza haya mantenido acceso a la información del Tesoro, según la carta.

En respuesta a la violación, los funcionarios del Tesoro han elogiado las inversiones realizadas bajo la Cuenta de Mejoramiento de Ciberseguridad (CEA, por sus siglas en inglés), que proporcionó herramientas esenciales para monitorear y responder al ataque.

Conforme a la Ley de Modernización de la Seguridad de la Información Federal (FISMA, por sus siglas en inglés), el Tesoro ha designado este incidente como un evento importante de ciberseguridad.

El Washington Post comenta que la brecha sigue una serie de ataques cibernéticos de alto perfil atribuidos a China.

A principios de este año, el grupo de hackers chinos conocido como Salt Typhoon infiltró más de una docena de empresas de telecomunicaciones estadounidenses, lo que les permitió interceptar llamadas telefónicas y mensajes de texto, incluidos los del presidente electo Donald Trump y del vicepresidente electo JD Vance.