Espionaje chino explota Google Workspace para robar datos militares

¿Qué ha ocurrido?

Según un informe exclusivo de The Next Web, el grupo de espionaje chino UNC6508 ha estado atacando servidores REDCap (Research Electronic Data Capture) en instituciones médicas, académicas y militares de Norteamérica. REDCap es una plataforma web ampliamente utilizada para la captura y gestión de datos en investigación clínica, ensayos militares y estudios académicos. Desarrollada por la Universidad de Vanderbilt, REDCap es adoptada por más de 4.500 instituciones en todo el mundo, incluyendo hospitales, universidades y agencias gubernamentales. Los atacantes explotaron una vulnerabilidad de seguridad en REDCap (posiblemente una inyección SQL o un fallo de autenticación, aunque los detalles exactos no se han revelado públicamente) para obtener acceso inicial a los servidores. Una vez dentro, utilizaron una función legítima de Google Workspace: la creación de reglas de reenvío automático en Gmail. Configuraron estas reglas para copiar automáticamente los correos electrónicos entrantes y salientes que contenían palabras clave relacionadas con defensa, investigación militar o datos personales de salud, y reenviarlos a cuentas de correo controladas por los atacantes. Este método de exfiltración es particularmente sigiloso porque el tráfico generado es indistinguible del tráfico legítimo de la organización, ya que utiliza la propia infraestructura de Google.

¿Por qué es importante?

Este ataque destaca por su sofisticación y persistencia: los hackers permanecieron en las redes durante más de un año sin ser detectados, entre principios de 2025 y mediados de 2026, según el informe. Utilizar una función nativa de Google Workspace para la exfiltración es una táctica novedosa que elude las herramientas de seguridad tradicionales, como los firewalls y los sistemas de detección de intrusiones, que suelen centrarse en tráfico malicioso externo. Al emplear una funcionalidad legítima, los atacantes aprovechan la confianza que las organizaciones depositan en los servicios en la nube. Además, los datos robados incluyen información de defensa clasificada, correos electrónicos militares y datos de investigación clínica sobre tratamientos experimentales, lo que supone un grave riesgo para la seguridad nacional y la propiedad intelectual. Comparado con ataques anteriores, como el del grupo APT10 que utilizó técnicas similares de living-off-the-land (LotL) en 2018, este incidente muestra una evolución en las tácticas de espionaje chino, que ahora integran servicios cloud legítimos como vector de ataque.

¿Qué consecuencias tendrá?

Se espera que este incidente lleve a una revisión profunda de las políticas de seguridad en el uso de Google Workspace, especialmente en entornos gubernamentales y de defensa. Las organizaciones deberán implementar controles más estrictos sobre las reglas de reenvío, como la prohibición de reenvíos automáticos a dominios externos, y monitorear el tráfico de correo electrónico en busca de anomalías mediante herramientas de User and Entity Behavior Analytics (UEBA). A largo plazo, podría aumentar la presión regulatoria sobre las plataformas de colaboración en la nube para que ofrezcan herramientas de detección de amenazas internas más robustas, como alertas en tiempo real sobre cambios en las reglas de reenvío. Además, este ataque podría acelerar la adopción de arquitecturas Zero Trust, donde ningún tráfico, incluso el que se origina dentro de la red, se considera confiable por defecto. Para REDCap, se espera que los desarrolladores publiquen parches de seguridad y que las instituciones reevalúen la exposición de sus servidores a Internet.

¿Qué deben saber los lectores?

• El grupo UNC6508 ha sido vinculado al gobierno chino y ha centrado sus ataques en servidores REDCap, una plataforma de investigación médica y militar que almacena datos altamente sensibles.
• La exfiltración se realizó mediante reglas de reenvío automático en Google Workspace, una función legítima que los atacantes configuraron para copiar correos electrónicos con datos sensibles a cuentas externas.
• El ataque duró más de un año y afectó a redes de Norteamérica, incluyendo instituciones militares y de defensa, así como centros médicos académicos que realizan investigaciones financiadas por el gobierno.
• Las organizaciones deben revisar las reglas de reenvío en sus cuentas de Google Workspace y considerar la implementación de soluciones de seguridad que detecten comportamientos anómalos en el tráfico de correo, como la exfiltración de datos a través de canales legítimos.

Recomendaciones

Para mitigar este tipo de amenazas, se recomienda: (1) auditar periódicamente las reglas de reenvío en todas las cuentas de Google Workspace y deshabilitar el reenvío automático a dominios externos; (2) implementar alertas de seguridad para reglas de reenvío sospechosas mediante Google Workspace Alert Center o herramientas SIEM; (3) utilizar autenticación multifactor y controles de acceso basados en riesgos para cuentas con privilegios de administración; (4) segmentar las redes y limitar el acceso a REDCap solo a usuarios autorizados, preferiblemente mediante VPN o acceso remoto seguro; (5) educar a los empleados sobre los riesgos de las funciones de colaboración y la importancia de reportar reglas de reenvío no autorizadas.