El equipo de cibertinteligencia de la multinacional S2GRUPO ha detectado y analizado campañas recientes del grupo APT (Amenaza Persistente Avanzada) conocido como Volt Typhoon, centradas en el compromiso de infraestructuras críticas de Estados Unidos, que apuntan principalmente a los sectores de energía, telecomunicaciones y transporte, e incluso tienen en la mira a organismos gubernamentales.
Volt Typhoon (Tifón Volt, en español) ha sido identificada por Estados Unidos como una red de piratería informática china que tiene encendidas las alarmas de las autoridades por sus acciones hostiles en años recientes. “China está desarrollando la capacidad de causar estragos físicos en la infraestructura crítica de Estados Unidos y sus piratas informáticos están esperando el momento justo para asestar un golpe devastador”, señaló en abril de 2024 el entonces director del FBI, Christopher Wray.
Los objetivos de este actor no se limitan a la obtención de información clave: buscan posicionarse dentro de sistemas OT (Tecnología Operativa) estratégicos para facilitar posibles disrupciones operativas en escenarios de confrontación futura. El equipo de ciberinteligencia de S2GRUPO ha detectado, por ejemplo, que la filtración de diagramas, planos de sistemas SCADA, relés y switches de protección sugiere una preparación activa para ataques dirigidos a degradar o interrumpir servicios esenciales en los blancos seleccionados.
“Los ciberataques a infraestructuras críticas han pasado de ser un escenario teórico a una herramienta activa de presión y conflicto. Su impacto potencial en servicios esenciales como la electricidad o las telecomunicaciones puede generar consecuencias económicas, sociales y políticas inmediatas”, explica Enrique Fenollosa, LATAM General Manager de S2GRUPO.
Un factor diferencial observado por S2GRUPO en esta y otras campañas es el uso creciente de redes ORB (Operational Relay Box Networks): redes formadas por VPS y dispositivos IoT comprometidos (routers, cámaras, sensores, etcétera) administradas por terceros ajenos a Volt Typhoon, que se rotan constantemente para eludir la detección. Estas redes dificultan enormemente la atribución y anulan la eficacia de mecanismos basados en indicadores clásicos como direcciones IP.
Aunque las campañas de Volt Typhoon se han centrado principalmente en Estados Unidos, el análisis de S2GRUPO señala que las técnicas utilizadas podrían replicarse en otras latitudes, donde muchas infraestructuras aún presentan vulnerabilidades similares.
¿Qué hacer ante una amenaza como Volt Typhoon?
A la luz de lo observado en las campañas de Volt Typhoon, el equipo de expertos de S2GRUPO identifica tres líneas de actuación prioritarias para operadores de infraestructuras críticas que busquen aumentar su resiliencia ante amenazas avanzadas:
- Reforzar la monitorización continua tanto en redes IT como OT, priorizando la detección de comportamientos anómalos, incluso cuando se utilicen herramientas legítimas del sistema.
- Establecer procedimientos de intercambio de inteligencia con entidades expertas (asociaciones industriales o partners tecnológicos) que faciliten la identificación de patrones y tácticas conocidos.
- Realizar auditorías regulares del estado de los activos expuestos, y aplicar medidas de segmentación, bastionado y control de acceso, especialmente en sistemas industriales conectados a redes IP.
“La anticipación es clave. Las campañas como las de Volt Typhoon no empiezan con un ataque visible, sino con una fase silenciosa de posicionamiento en red. Detectar esas señales tempranas es lo que marca la diferencia”, destaca el equipo técnico de S2GRUPO.
Las campañas de Volt Typhoon reflejan un cambio de paradigma en la ciberseguridad industrial: ya no basta con proteger activos IT. Hoy, las organizaciones deben asegurar sus entornos OT con un enfoque integral, anticipativo y autónomo. En este escenario, la autonomía estratégica no es solo una responsabilidad pública, sino una necesidad empresarial.
“La ciberseguridad ya no es un componente más del ecosistema tecnológico de la organización: es un elemento crítico para la continuidad operativa y la estabilidad organizativa. Depender de soluciones genéricas diseñadas para contextos globales deja a muchas organizaciones expuestas. Apostar por proveedores especializados, con tecnología propia y enfoque OT, es una decisión estratégica para proteger lo esencial”, concluye Fenollosa.
