A principios de noviembre de 2025, una importante filtración de datos en Knownsec, una destacada empresa china de ciberseguridad con vínculos gubernamentales, conmocionó a la comunidad internacional de seguridad.
El incidente, reportado el 2 de noviembre, expuso sofisticadas armas cibernéticas patrocinadas por el Estado, herramientas internas de hackeo y una extensa lista global de objetivos que abarca varios continentes.
Los archivos publicados, que constan de más de 12.000 documentos clasificados, revelaron detalles sobre el programa de ciberinteligencia del país, sus herramientas de ataque internas y listas de objetivos globales que abarcan más de 20 países. Las capacidades técnicas expuestas en la filtración demuestran una sofisticada infraestructura de ataque multiplataforma.
Esta filtración representa una de las mayores revelaciones de operaciones cibernéticas estatales en los últimos años. Los hackers lograron extraer miles de archivos confidenciales que iban mucho más allá de la documentación comercial rutinaria.
El material filtrado incluía especificaciones técnicas de armas cibernéticas, código fuente de herramientas de hackeo propietarias, detalles operativos de colaboraciones gubernamentales y extensas listas de objetivos de vigilancia extranjera.
Publicados inicialmente en GitHub, los documentos filtrados se difundieron rápidamente entre la comunidad de investigación en ciberseguridad antes de que GitHub los eliminara por infringir sus términos de servicio. Sin embargo, el daño ya estaba hecho: investigadores de seguridad de todo el mundo obtuvieron información sin precedentes sobre las capacidades de guerra cibernética de China.
Posición estratégica de Knownsec
Fundada en agosto de 2007, Knownsec se consolidó como pionera en la monitorización y defensa de seguridad en la nube dentro del ecosistema de ciberseguridad chino. La empresa recibió una importante inversión estratégica del gigante tecnológico Tencent en 2015 y creció hasta contar con más de 900 empleados en diversas oficinas en China.
La cartera de clientes de Knownsec incluye instituciones financieras, agencias gubernamentales y grandes empresas de internet, lo que la posiciona como un actor clave en la infraestructura de seguridad nacional de China. Esta importancia estratégica hace que la filtración sea particularmente significativa, ya que podría comprometer años de operaciones de inteligencia y exponer metodologías utilizadas contra objetivos extranjeros.
La lista global de objetivos identifica explícitamente más de veinte países y regiones, entre ellos Japón, Vietnam, India, Indonesia, Nigeria y el Reino Unido, lo que revela el alcance de las operaciones de vigilancia.
Los documentos filtrados revelan un panorama inquietante de extensas actividades de ciberespionaje. Una hoja de cálculo incluida en la filtración detalla 80 objetivos en el extranjero supuestamente comprometidos por agentes de Knownsec.
La magnitud del robo de datos es asombrosa: 95 GB de registros de inmigración de la India, 3 TB de registros de llamadas del proveedor de telecomunicaciones surcoreano LG U Plus y 459 GB de datos de planificación vial de Taiwán.
KnownSec mantiene una extensa biblioteca de troyanos de acceso remoto capaces de comprometer sistemas Linux, Windows, macOS, iOS y Android. Resulta especialmente preocupante el malware para Android diseñado específicamente para extraer historiales de mensajes de aplicaciones de chat chinas y Telegram.
Aún más preocupante es el detalle sobre los vectores de ataque basados en hardware. La empresa supuestamente desarrolló una batería externa con ingeniería maliciosa capaz de extraer datos de forma encubierta al conectarse al ordenador de la víctima, lo que representa un sofisticado ataque directo a la cadena de suministro. Esto pone de manifiesto la disposición de los programas estatales a invertir en infraestructuras complejas para eludir los controles de seguridad tradicionales.
Negación oficial
La portavoz del Ministerio de Relaciones Exteriores de China, Mao Ning, respondió al escrutinio internacional afirmando que desconocía la brecha de seguridad de KnownSec. Reiteró la posición oficial de China de que el país "se opone firmemente y combate todas las formas de ciberataques de conformidad con la ley".
La respuesta, redactada con cautela, no confirma ni niega la participación del gobierno en operaciones de ciberinteligencia, lo que sugiere que las autoridades chinas podrían considerar dichas actividades como medidas legítimas de seguridad nacional, en lugar de operaciones ilícitas que requieran reconocimiento público.
Esta brecha ofrece una visibilidad sin precedentes de las operaciones cibernéticas patrocinadas por el Estado, generalmente envueltas en secreto. Las herramientas, técnicas y listas de objetivos expuestas permitirán a los defensores de todo el mundo comprender mejor las amenazas similares y protegerse contra ellas.
Sin embargo, el incidente también pone de manifiesto la vulnerabilidad incluso de las organizaciones centradas en la seguridad ante ataques sofisticados y plantea interrogantes sobre las prácticas de seguridad de las empresas que gestionan operaciones cibernéticas gubernamentales sensibles.
Fuente: Gbhackers