Había pasado casi una década desde que comenzaron a moverse en las sombras. El grupo Gallium –rastreado por Google bajo la designación UNC2814– operó en silencio dentro de redes gubernamentales y corporativas en decenas de países, acumulando acceso, extrayendo información y perfeccionando sus métodos sin despertar alarmas visibles.
En febrero, la agencia Reuters informó que UNC2814 había comprometido al menos 53 organizaciones en 42 países, con enfoque sostenido en entidades gubernamentales y empresas de telecomunicaciones. Analistas calificaron la campaña como un esquema sistemático de recopilación de inteligencia.
El grupo empleó herramientas de uso cotidiano, entre ellas Google Sheets, para disfrazar su actividad dentro del flujo ordinario del tráfico de red, eludiendo así los mecanismos de detección convencionales. En uno de los casos documentados, desplegó una puerta trasera denominada GRIDTIDE en plataformas que contenían datos personales sensibles, incluidos registros de identidad y archivos de telecomunicaciones.
La respuesta fue coordinada y contundente. Google y sus socios tecnológicos neutralizaron la infraestructura operativa del grupo, cancelaron proyectos alojados en la nube y deshabilitaron las cuentas utilizadas para el acceso remoto y la extracción de datos. La compañía señaló que estas actividades guardan coherencia con campañas anteriores atribuidas a operadores ligados a Pekín.
El alcance de estas operaciones llega directamente a Latinoamérica. Víctor Ruiz, fundador del centro de ciberseguridad SILIKN en México, explicó a Diálogo que las brechas en capacidades defensivas y la interconexión regional con redes globales convierten a los aparatos gubernamentales, las telecomunicaciones y los sectores estratégicos en blancos de alta prioridad. “Este incidente es un recordatorio de que la amenaza de actores cibernéticos sofisticados vinculados a China no ha desaparecido; por el contrario, mantiene operaciones persistentes orientadas al acceso sostenido a sistemas críticos”, advirtió.
“Esta dinámica se ve favorecida por la polarización interna y la limitada inversión en tecnología, que reducen la prioridad de la ciberseguridad. Así, los atacantes pueden mantener presencia prolongada en sistemas críticos y utilizar esas plataformas para ampliar el alcance de sus operaciones”, agregó.
Herramientas, métodos y la doctrina de la opacidad
Los colectivos de amenazas persistentes avanzadas (APT) vinculados a China no improvisan. Con el tiempo, han construido un arsenal sofisticado: código malicioso personalizado, explotación de vulnerabilidades de día cero y redes sustitutas o proxy que enmascaran el origen real de sus intrusiones. Sus blancos predilectos son los dispositivos y plataformas de borde –routers, firewalls, servidores perimetrales– que operan con capacidades reducidas de monitoreo, según el grupo de inteligencia de amenazas de Google Cloud.
“Estos grupos no actúan de forma aislada, sino como parte de campañas sostenidas que explotan entornos con menores capacidades de protección. En muchos casos, utilizan infraestructuras en países de Latinoamérica como punto de acceso indirecto hacia redes más amplias, particularmente a través de sistemas gubernamentales y de telecomunicaciones”, detalló Ruiz.
La estrategia revela una lógica de penetración por capas: usar los eslabones más débiles de la cadena digital regional para alcanzar objetivos de mayor valor. Subyace a todo esto un marco legal que distingue al ecosistema tecnológico chino de muchas democracias.
Las leyes chinas obligan a organizaciones y ciudadanos a colaborar con el trabajo de inteligencia nacional y exigen a operadores de redes proporcionar asistencia técnica a las autoridades de seguridad cuando esta es requerida. Esto genera preocupaciones sobre la influencia estatal sobre proveedores tecnológicos y la posible exposición de información sensible vinculada a infraestructura crítica, subrayó Ruiz.
“En paralelo, estos actores han adaptado sus métodos para infiltrarse en plataformas de uso masivo. Utilizan servicios en la nube y sistemas operativos comerciales para ocultar su actividad dentro del tráfico normal y mantener acceso a la información”, añadió.
Dependencia tecnológica y la sombra de la Ruta de la Seda Digital
Las decisiones de infraestructura tienen consecuencias que trascienden el costo inicial. La adopción de tecnologías impulsada por precios competitivos o por la influencia comercial de proveedores chinos introduce variables críticas para la soberanía nacional en Latinoamérica, advierte el Centro para la Apertura y el Desarrollo de América Latina (CADAL).
Cuando la infraestructura digital es operada por empresas con vínculos directos con el Estado chino, la protección de datos y la integridad de los sistemas dejan de ser garantías automáticas. La presencia de Huawei y ZTE en el despliegue de telecomunicaciones a lo largo de la región ha incrementado preocupaciones sobre autonomía tecnológica y control de datos sensibles, precisa el mismo centro.
Estas dinámicas se inscriben en el proyecto más amplio de la Ruta de la Seda Digital, mediante la cual China amplía deliberadamente su proyección tecnológica en mercados en desarrollo. Aceptar esa infraestructura sin evaluar sus implicaciones a largo plazo equivale a ceder el control de la arquitectura digital nacional; con ella, la capacidad de decidir quién accede a qué información y bajo qué condiciones.
Sectores estratégicos bajo asedio: de los gobiernos al litio
“En muchos países de Latinoamérica, los recursos en ciberseguridad se concentran en amenazas comunes como el cibercrimen, mientras que las operaciones de grupos de amenazas persistentes avanzadas vinculados al PCCh (Partido Comunista de China) requieren capacidades más especializadas. Este desbalance deja expuestas redes completas, no solo sistemas individuales”, explicó Ruiz.
Bolivia, Colombia, Ecuador y Perú presentan condiciones particularmente vulnerables: limitaciones presupuestarias en tecnología combinadas con alta conectividad a redes internacionales crean condiciones propicias para la penetración. “Las intrusiones pueden extenderse más allá de un sistema específico y comprometer redes generales, incluyendo sectores estratégicos como telecomunicaciones, infraestructura crítica y procesos gubernamentales”, alertó Ruiz.
La evidencia empírica refuerza estas preocupaciones. En abril de 2025, una revisión de ciberseguridad realizada en conjunto con el Comando Sur de los Estados Unidos (SOUTHCOM) identificó la presencia del grupo APT15, vinculado a China, en sistemas del Ministerio de Relaciones Exteriores de Guatemala. Posteriormente, las autoridades guatemaltecas reconocieron la intrusión y señalaron que el compromiso se remontaba a 2022 y no correspondía a una nueva brecha.
Google Cloud ha advertido que estos grupos orientan sus operaciones hacia la infiltración sostenida de plataformas esenciales, priorizando el acceso a datos capaces de influir en procesos de toma de decisiones. El interés de Pekín no se detiene en los gobiernos. La creciente demanda global de minerales críticos ha convertido a la industria extractiva latinoamericana en un objetivo de alto valor.
Un reporte de Prensario TI Latin America señala que el litio y el cobre de Argentina, Chile y Perú se han convertido en objetivos de actividad cibernética orientada a obtener datos sobre concesiones y activos estratégicos. Quien controla esa información moldea las condiciones del mercado antes de que las negociaciones comiencen.
Respaldo probado: cooperación, resiliencia y el costo de ignorar la amenaza
La respuesta a estos desafíos no puede ser aislada ni puramente reactiva. A lo largo del hemisferio, gobiernos y socios estratégicos han reforzado enfoques cooperativos orientados a la resiliencia cibernética, el intercambio de información y la protección de infraestructura crítica.
Las iniciativas regionales se han convertido en una parte importante de ese esfuerzo. El ejercicio Cyber Guardian de Brasil —considerado uno de los mayores ejercicios de ciberseguridad de Latinoamérica— reúne a instituciones militares, organismos gubernamentales, empresas estratégicas, universidades y socios internacionales para simular ataques contra infraestructura crítica y fortalecer capacidades coordinadas de defensa cibernética.
Al mismo tiempo, SOUTHCOM ha ampliado la cooperación con países socios mediante revisiones conjuntas de ciberseguridad, asistencia técnica, iniciativas de capacitación y colaboración en defensa cibernética. En Paraguay, una revisión conjunta realizada con SOUTHCOM identificó la presencia del grupo Flax Typhoon, vinculado a China, dentro de sistemas gubernamentales paraguayos, reforzando la importancia del monitoreo continuo y la protección de redes críticas.
Costa Rica también ha fortalecido la cooperación cibernética con socios regionales e internacionales tras importantes ataques de ransomware registrados en los últimos años. Las iniciativas cooperativas respaldaron el desarrollo de infraestructura de ciberseguridad, programas de capacitación y el establecimiento de un Centro de Operaciones de Ciberseguridad destinado a fortalecer la resiliencia nacional frente a futuros ataques.
El costo de no actuar es alto. “Ignorar este tipo de amenazas puede derivar en escenarios de acceso persistente a sistemas críticos, donde actores externos mantienen capacidad de monitoreo a largo plazo sobre información sensible. En muchos casos, la infraestructura comprometida no se elimina tras cambios de gobierno, lo que permite que estas operaciones continúen de forma sostenida”, advirtió Ruiz.
La dependencia unilateral de un solo proveedor tecnológico puede profundizar aún más las vulnerabilidades estructurales. “Diversificar infraestructura y fortalecer capacidades propias (…) se vuelve clave para reducir vulnerabilidades y limitar la exposición a este tipo de operaciones”, concluyó Ruiz.
La confianza mutua construida sobre transparencia, interoperabilidad y cooperación sostenida no es un lujo; se está convirtiendo en un componente esencial de cualquier estrategia de ciberseguridad que aspire a resiliencia a largo plazo.
La defensa de la autonomía digital latinoamericana exige resiliencia, cooperación y apertura. Frente a sistemas opacos y modelos de control centralizado, la transparencia y las alianzas de confianza se consolidan cada vez más como pilares para la estabilidad regional.
