Já havia se passado quase uma década desde que começaram a atuar nas sombras. O grupo Gallium – rastreado pelo Google sob a designação UNC2814 – operou silenciosamente dentro de redes governamentais e corporativas em dezenas de países, acumulando acesso, extraindo informações e aperfeiçoando seus métodos sem despertar alertas visíveis.
Em fevereiro, a agência Reuters informou que o UNC2814 havia comprometido pelo menos 53 organizações em 42 países, com foco contínuo em entidades governamentais e empresas de telecomunicações. Analistas classificaram a campanha como um esquema sistemático de coleta de inteligência.
O grupo utilizou ferramentas de uso cotidiano, entre elas o Google Sheets, para disfarçar suas atividades no fluxo normal do tráfego de rede, contornando assim os mecanismos convencionais de detecção. Em um dos casos documentados, implantou um backdoor chamado GRIDTIDE em plataformas que armazenavam dados pessoais sensíveis, incluindo registros de identidade e arquivos de telecomunicações.
A resposta foi coordenada e contundente. O Google e seus parceiros tecnológicos neutralizaram a infraestrutura operacional do grupo, cancelaram projetos hospedados na nuvem e desativaram as contas utilizadas para acesso remoto e extração de dados. A empresa observou que essas atividades são consistentes com campanhas anteriores atribuídas a operadores ligados a Pequim.
O alcance dessas operações se estende diretamente à América Latina. Víctor Ruiz, fundador do centro de segurança cibernética SILIKN no México, explicou à Diálogo que as lacunas nas capacidades defensivas e a interconexão regional com redes globais tornam órgãos governamentais, empresas de telecomunicações e setores estratégicos alvos de alta prioridade. “Este incidente é um lembrete de que a ameaça representada por atores cibernéticos sofisticados ligados à China não desapareceu; pelo contrário, mantém operações persistentes voltadas ao acesso contínuo a sistemas críticos”, alertou.
“Essa dinâmica é favorecida pela polarização interna e pelo investimento limitado em tecnologia, o que reduz a prioridade atribuída à segurança cibernética. Assim, os atacantes conseguem manter uma presença prolongada em sistemas críticos e utilizar essas plataformas para ampliar o alcance de suas operações”, acrescentou.
Ferramentas, métodos e a doutrina da opacidade
Os grupos de ameaças persistentes avançadas (APT) ligados à China não improvisam. Ao longo do tempo, construíram um arsenal sofisticado: código malicioso personalizado, exploração de vulnerabilidades de dia zero e redes proxy que mascaram a origem real de suas invasões. Seus alvos preferenciais são dispositivos e plataformas de borda – roteadores, firewalls e servidores de perímetro – que operam com capacidades reduzidas de monitoramento, de acordo com o grupo de inteligência de ameaças do Google Cloud.
“Esses grupos não atuam de forma isolada, mas como parte de campanhas sustentadas que exploram ambientes com menor capacidade de proteção. Em muitos casos, utilizam infraestruturas em países da América Latina como ponto de acesso indireto a redes mais amplas, especialmente por meio de sistemas governamentais e de telecomunicações”, detalhou Ruiz.
A estratégia revela uma lógica de penetração em camadas: utilizar os elos mais frágeis da cadeia digital regional para alcançar alvos de maior valor. Por trás disso está um marco legal que diferencia o ecossistema tecnológico chinês de muitas democracias.
As leis chinesas obrigam organizações e cidadãos a colaborar com o trabalho de inteligência nacional e exigem que operadoras de rede forneçam assistência técnica às autoridades de segurança quando solicitada. Isso gera preocupações sobre a influência do Estado sobre fornecedores de tecnologia e sobre a possível exposição de informações confidenciais ligadas à infraestrutura crítica, destacou Ruiz.
“Paralelamente, esses atores adaptaram seus métodos para se infiltrar em plataformas de uso massivo. Eles utilizam serviços em nuvem e sistemas operacionais comerciais para ocultar suas atividades no tráfego normal e manter o acesso às informações”, acrescentou.
Dependência tecnológica e a sombra da Rota da Seda Digital
As decisões de infraestrutura têm consequências que vão além do custo inicial. A adoção de tecnologias impulsionada por preços competitivos ou pela influência comercial de fornecedores chineses introduz variáveis críticas para a soberania nacional na América Latina, alerta o Centro para a Abertura e o Desenvolvimento da América Latina (CADAL).
Quando a infraestrutura digital é operada por empresas com vínculos diretos com o Estado chinês, a proteção de dados e a integridade dos sistemas deixam de ser garantias automáticas. A presença da Huawei e da ZTE na expansão de telecomunicações em toda a região aumentou as preocupações relacionadas à autonomia tecnológica e controle de dados sensíveis, destaca o mesmo centro.
Essas dinâmicas se inscrevem no projeto mais amplo da Rota da Seda Digital, por meio da qual a China amplia deliberadamente sua projeção tecnológica em mercados em desenvolvimento. Aceitar essa infraestrutura sem avaliar suas implicações de longo prazo equivale a ceder o controle da arquitetura digital nacional; com ela, a capacidade de decidir quem acessa determinadas informações e sob quais condições.
Setores estratégicos sob cerco: dos governos ao lítio
“Em muitos países da América Latina, os recursos em segurança cibernética concentram-se em ameaças comuns, como o crime cibernético, enquanto as operações de grupos de ameaças persistentes avançadas ligados ao Partido Comunista da China (PCC) exigem capacidades mais especializadas. Esse desequilíbrio deixa expostas redes inteiras, e não apenas sistemas individuais”, explicou Ruiz.
Bolívia, Colômbia, Equador e Peru apresentam condições particularmente vulneráveis: limitações orçamentárias em tecnologia combinadas com alta conectividade a redes internacionais criam um ambiente propício à penetração. “As invasões podem ir além de um sistema específico e comprometer redes inteiras, incluindo setores estratégicos como telecomunicações, infraestrutura crítica e processos governamentais”, alertou Ruiz.
As evidências empíricas reforçam essas preocupações. Em abril de 2025, uma revisão de segurança cibernética realizada em conjunto com o Comando Sul dos Estados Unidos (SOUTHCOM) identificou a presença do grupo APT15, ligado à China, em sistemas do Ministério das Relações Exteriores da Guatemala. Posteriormente, as autoridades guatemaltecas reconheceram a invasão e afirmaram que o comprometimento remontava a 2022 não correspondendo a uma nova brecha.
O Google Cloud alertou que esses grupos direcionam suas operações para infiltrações sustentadas em plataformas essenciais, priorizando o acesso a dados capazes de influenciar processos de tomada de decisão. O interesse de Pequim, porém, não se limita aos governos. A crescente demanda global por minerais críticos transformou a indústria extrativa latino-americana em um alvo de alto valor.
Um relatório da Prensario TI Latin America aponta que o lítio e o cobre da Argentina, do Chile e do Peru se tornaram alvos de atividades cibernéticas voltadas à obtenção de dados sobre concessões e ativos estratégicos. Quem controla essas informações molda as condições do mercado antes mesmo do início das negociações
Apoio comprovado: cooperação, resiliência e o custo de ignorar a ameaça A resposta a esses desafios não pode ser isolada nem puramente reativa. Em todo o hemisfério, governos e parceiros estratégicos vêm fortalecendo abordagens cooperativas voltadas para a resiliência cibernética, a o intercâmbio de informações e à proteção de infraestruturas críticas. As iniciativas regionais tornaram-se parte importante desse esforço. O exercício Cyber Guardian do Brasil — considerado um dos maiores exercícios de segurança cibernética da América Latina — reúne instituições militares, órgãos governamentais, empresas estratégicas, universidades e parceiros internacionais para simular ataques contra infraestruturas críticas e fortalecer capacidades coordenadas de defesa cibernética. Ao mesmo tempo, o SOUTHCOM ampliou a cooperação com países parceiros por meio de revisões conjuntas de segurança cibernética, assistência técnica, iniciativas de capacitação e colaboração em defesa cibernética. No Paraguai, uma revisão conjunta realizada com o SOUTHCOM identificou a presença do grupo Flax Typhoon, ligado à China, em sistemas governamentais paraguaios, reforçando a importância do monitoramento contínuo e da proteção de redes críticas. A Costa Rica também fortaleceu a cooperação cibernética com parceiros regionais e internacionais após importantes ataques de ransomware registrados nos últimos anos. Essas iniciativas apoiaram o desenvolvimento de infraestrutura de segurança cibernética, programas de capacitação e a criação de um Centro de Operações de Segurança Cibernética destinado a fortalecer a resiliência nacional diante de futuros ataques.
O custo de não agir é alto. “Ignorar esse tipo de ameaça pode resultar em cenários de acesso persistente a sistemas críticos, nos quais atores externos mantêm capacidade de monitoramento de longo prazo sobre informações confidenciais. Em muitos casos, a infraestrutura comprometida não é eliminada após mudanças de governo, o que permite que essas operações continuem de forma sustentada”, alertou Ruiz.
A dependência unilateral de um único fornecedor de tecnologia pode aprofundar ainda mais as vulnerabilidades estruturais. “Diversificar a infraestrutura e fortalecer capacidades próprias (…) torna-se fundamental para reduzir vulnerabilidades e limitar a exposição a esse tipo de operação”, concluiu Ruiz.
A confiança mútua construída sobre transparência, interoperabilidade e cooperação sustentada não é um luxo; está se tornando um componente essencial de qualquer estratégia de segurança cibernética que aspire à resiliência a longo prazo.
A defesa da autonomia digital latino-americana exige resiliência, cooperação e abertura. Diante de sistemas opacos e modelos de controle centralizado, a transparência e as alianças baseadas na confiança se consolidam cada vez mais como pilares para a estabilidade regional.
