Google desmantela red de ciberespionaje con vínculos chinos y presencia en Chile
El Google Threat Intelligence Group (GTIG), en colaboración con la filial de ciberseguridad Mandiant, tomó medidas contundentes durante la tercera semana de febrero para desarticular una sofisticada campaña de espionaje digital. Esta operación maliciosa tenía como objetivo principal organizaciones gubernamentales y empresas de telecomunicaciones distribuidas en docenas de países de cuatro continentes diferentes.
UNC2814: el grupo escurridizo con nexo chino
En un informe técnico difundido el 25 de febrero de 2026, la tecnológica estadounidense identificó al actor de amenazas como UNC2814, un presunto grupo de ciberespionaje con conexiones directas con la República Popular China. Google ha estado rastreando las actividades de este conjunto de hackers desde el año 2017, catalogándolo como "prolífico y escurridizo" por su capacidad de evasión.
Este grupo mantiene un extenso historial de ataques dirigidos contra gobiernos internacionales y organizaciones globales de telecomunicaciones, con operaciones confirmadas en África, Asia y América. Al momento de la interrupción de sus actividades, Google había verificado intrusiones exitosas en 42 países, y entre las naciones donde existe evidencia o sospecha fundada de ataques se encuentra específicamente Chile.
Respuestas diplomáticas y silencios oficiales
La subsidiaria local del conglomerado Alphabet Inc. confirmó la validez del reporte, explicando que forma parte del monitoreo continuo que realiza la empresa sobre sus propias instalaciones y servicios. Esta alerta coincidió temporalmente con denuncias previas de la Embajada de Estados Unidos en Chile, liderada por Brandon Judd, acerca de vulneraciones en las telecomunicaciones nacionales que también afectaron a una compañía constructora.
Al ser consultada sobre el informe de Google, la delegación norteamericana respondió mediante un comunicado estándar: "Como norma, la Embajada no proporciona detalles sobre reuniones que sus diplomáticos sostienen o han sostenido con funcionarios del gobierno". No se refirieron directamente al contenido del reporte técnico.
Por su parte, la embajada de China en Santiago declinó entregar una opinión oficial cuando fue requerida. Sin embargo, fuentes diplomáticas de Beijing en el país argumentaron que "hay ciberataques de origen estadounidense por todo el mundo, incluso contra autoridades de países aliados, sin ninguna explicación o declaración del país norteamericano". Sobre el reporte específico de Google y el grupo UNC2814, la representación china afirmó que "no tenemos la obligación de contestar a acusaciones sin fundamentos o desde un origen sospechoso".
El saliente subsecretario de Telecomunicaciones de Chile, Claudio Araya, manifestó no conocer el reporte en cuestión cuando se le solicitó su evaluación.
Métodos de operación y objetivos estratégicos
Según la investigación técnica de Google, el grupo UNC2814 empleaba llamadas a la API (interfaz de programación de aplicaciones) para comunicarse con otras aplicaciones de software de servicios, utilizando infraestructura de comando y control para camuflar su tráfico malicioso como benigno. Esta táctica es común entre actores de amenazas avanzadas que buscan mejorar el sigilo de sus intrusiones.
"En lugar de aprovechar una debilidad o fallo de seguridad, los atacantes se basan en productos alojados en la nube para funcionar correctamente y hacer que su tráfico malicioso parezca legítimo", explicó la compañía liderada por Sundar Pichai.
Para neutralizar esta amenaza, Google implementó medidas contundentes:
- Cancelación de todos los proyectos de Google Cloud controlados por los atacantes
- Identificación y desactivación de toda la infraestructura UNC2814 conocida
- Eliminación de la cuenta del grupo atacante
- Implementación de medidas adicionales basadas en la investigación previa de Mandiant
La tecnológica enfatizó que el grupo chino logró sus ataques no mediante vulnerabilidades de seguridad en los productos de Google, sino abusando de funcionalidad legítima de las aplicaciones. Hasta el 18 de febrero, la investigación confirmó que UNC2814 había afectado a 53 víctimas en 42 países e identificó infecciones sospechosas en al menos 20 naciones adicionales.
Objetivos estratégicos del espionaje digital
Según el especialista en ciberseguridad y ciberdefensa Juan Roa, grupos como UNC2814 buscan infiltrarse en compañías que proveen servicios de telecomunicaciones con objetivos específicos:
- Capturar y analizar tráficos de comunicación
- Obtener información de carácter confidencial
- Acceder de manera ventajosa a negocios, licitaciones y contratos
- Copiar avances tecnológicos de terceros
A diferencia de los grupos de ransomware, estos actores rara vez buscan realizar secuestros de datos con fines extorsivos, prefiriendo mantener una presencia silenciosa y continua en los sistemas comprometidos.
Panorama global de ciberamenazas
Los expertos en seguridad digital señalan que estas vulneraciones son cada vez más frecuentes. El grupo Salt Typhoon, también vinculado a China, operó por más de un año sin ser detectado hasta 2024, afectando a más de 80 redes telefónicas a nivel global, incluyendo compañías estadounidenses como AT&T y Verizon.
El Canadian Centre for Cybersecurity, en un reporte de 2025, identificó a las empresas de telecomunicaciones como el principal objetivo de las entidades de ciberespionaje chino, aunque no descartó que otros sectores también sean blanco de ataques. La mayoría de estas operaciones son ejecutadas por grupos APT (Amenaza Persistente Avanzada), que buscan acceder a redes informáticas y sistemas críticos, manteniendo presencia continua para infiltrarse, dañar, espiar o tomar el control de sistemas.
Existen grupos similares en casi todos los países con capacidad de realizar guerras cibernéticas, incluyendo Estados Unidos, Corea del Norte, Israel, Irán, Rusia y China, entre otros, lo que refleja la creciente militarización del espacio digital a nivel global.
