El **National Cyber Security Centre (NCSC-UK)**, junto con socios internacionales, ha emitido un aviso conjunto que detalla el cambio en las tácticas, técnicas y procedimientos (TTPs) empleados por actores cibernéticos nexus China. Este cambio implica el aprovechamiento de redes a gran escala de dispositivos comprometidos, denominadas "redes encubiertas", para llevar a cabo operaciones cibernéticas. **Colaboración Internacional:** El aviso es un esfuerzo colaborativo que involucra a: * Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) * Communications Security Establishment Canada’s (CSE’s) Canadian Centre for Cyber Security (Cyber Centre) * Germany Federal Office for the Protection of the Constitution - Bundesamt für Verfassungsschutz (BfV) * Germany Federal Intelligence Service – Bundesnachrichtendienst (BND) * Germany Federal Office for Information Security - Bundesamt für Sicherheit in der Informationstechnik (BSI) * Japan National Cybersecurity Office (NCO) - 国家サイバー統括室 * Netherlands General Intelligence and Security Service - Algemene Inlichtingen- en Veiligheidsdienst (AIVD) * Netherlands Defence Intelligence and Security Service - Militaire Inlichtingen- en Veiligheidsdienst (MIVD) * New Zealand National Cyber Security Centre (NCSC-NZ) * Spain National Cryptologic Centre – Centro Criptológico Nacional (CCN) * Sweden National Cyber Security Centre - Nationellt cybersäkerhetscenter (NCSC-SE) * United States Cybersecurity and Infrastructure Security Agency (**CISA**) * United States Department of Defense Cyber Crime Center (DC3) * United States Federal Bureau of Investigation (**FBI**) * United States National Security Agency (**NSA**) El aviso tiene como objetivo equipar a los defensores de redes con el conocimiento y las herramientas necesarias para defenderse contra estas amenazas en evolución. **El Auge de las Redes Encubiertas** Los actores de amenazas nexus China se están alejando cada vez más de la infraestructura adquirida individualmente, optando en su lugar por redes a gran escala de dispositivos comprometidos aprovisionadas externamente. Estas "redes encubiertas" consisten principalmente en routers Small Office Home Office (SOHO), dispositivos de Internet de las Cosas (IoT) y dispositivos inteligentes comprometidos. Estas redes, también conocidas como botnets, se utilizan estratégicamente a escala para facilitar actividades cibernéticas maliciosas. **Cómo Operan las Redes Encubiertas** Las redes encubiertas proporcionan un método de bajo costo, bajo riesgo y negable para conectarse a través de Internet, disfrazando eficazmente el origen y la atribución de la actividad maliciosa. Los actores utilizan estas redes a lo largo de la Cyber Kill Chain, desde escaneos de reconocimiento hasta la entrega de malware, la comunicación con el malware y la exfiltración de datos robados. También permiten la navegación anónima para investigar técnicas de explotación y víctimas. **Raptor Train e Integrity Technology Group** La evidencia sugiere que las empresas de seguridad de la información chinas están involucradas en la creación y el mantenimiento de estas redes encubiertas. La red conocida como **Raptor Train**, que infectó más de 200.000 dispositivos en todo el mundo en 2024, fue controlada por **Integrity Technology Group**. El **FBI** ha evaluado que esta empresa es responsable de actividades de intrusión informática atribuidas a los hackers con base en China conocidos como Flax Typhoon. **Dispositivos Vulnerables y la Botnet KV** Estas redes encubiertas a menudo explotan vulnerabilidades en routers SOHO, dispositivos IoT (como cámaras web y grabadoras de video), firewalls y dispositivos de almacenamiento conectado en red (NAS). La Botnet KV, utilizada por Volt Typhoon, se dirigió principalmente a routers **Cisco** y **NetGear** vulnerables que estaban "fin de vida" y ya no recibían actualizaciones de seguridad. **El Desafío de la Extinción de Indicadores de Compromiso (IOC)** **Mandiant Intelligence** destacó el problema de la Extinción de Indicadores de Compromiso (IOC) en una publicación de blog de mayo de 2024. La naturaleza dinámica de estas redes, con potencialmente cientos de miles de puntos finales utilizados por múltiples actores de amenazas, hace que las estrategias de defensa de red tradicionales, como las listas estáticas de bloqueo de IP maliciosas, sean menos efectivas. **Topología de Red Típica** Si bien los detalles específicos de cada red encubierta varían, generalmente siguen una estructura similar: * **Nodo de Entrada/Acceso:** El punto inicial de conexión a la red. * **Nodos de Tránsito:** Múltiples dispositivos comprometidos que reenvían tráfico. * **Nodo de Salida:** El punto donde el tráfico sale de la red, a menudo en la misma región geográfica que el objetivo.  **Medidas de Protección** La defensa contra ataques originados en redes encubiertas requiere un enfoque multifacético. Las organizaciones deben seguir las mejores prácticas generales de ciberseguridad y considerar las siguientes medidas específicas: * Implementar monitoreo de red robusto y sistemas de detección de intrusiones. * Mantener todos los dispositivos, incluidos routers y dispositivos IoT, actualizados con los últimos parches de seguridad. * Segmentar las redes para limitar el impacto de un posible compromiso. * Aplicar políticas sólidas de autenticación y control de acceso. * Revisar y actualizar regularmente las políticas y procedimientos de seguridad. Hay más orientación disponible en el sitio web del **NCSC**, junto con consideraciones sobre leyes y regulaciones aplicables.