Hackers chinos pasaron más de 14 meses en laboratorios de IA y defensa en EE.UU. y Canadá, revela Google

El Google Threat Intelligence Group (GTIG) divulgó este lunes que un grupo vinculado a China, identificado como UNC6508, permaneció por más de 14 meses dentro de redes de investigación académica, médica y militar en los Estados Unidos y en Canadá antes de ser detectado. El acceso inicial se logró mediante la explotación de servidores REDCap (Research Electronic Data Capture), un software de captura de datos de investigación ampliamente utilizado en universidades y centros médicos. La operación se llevó a cabo entre septiembre de 2023 y noviembre de 2025, según el informe.

La naturaleza de los objetivos es lo que diferencia esta campaña de otras atribuídas a actores estatales chinos en este año. UNC6508 buscaba datos sobre inteligencia de defensa, estrategia militar en la región del Indo-Pacífico, inteligencia artificial, vehículos no tripulados, programas de guerra cibernética y investigación médica avanzada. La combinación sugiere una recolección dirigida e indica que los objetivos no fueron oportunistas.

INFINITERED y el abuso de Google Workspace

La pieza técnica central de la operación es el INFINITERED, un malware personalizado que el GTIG describe en tres componentes. El primero es un dropper que intercepta actualizaciones legítimas del REDCap. El segundo es un recolector de credenciales que captura nombres de usuario y contraseñas ingresados en la aplicación. El tercero es un backdoor con función de command-and-control. La cadena permite al atacante sustituir una rutina de actualización confiable por una versión modificada que mantiene la apariencia de la original.

Tras capturar las credenciales, el grupo se movió lateralmente en las redes internas de las instituciones. La innovación operativa, según Mandiant Consulting, que asesoró a Google en la investigación, fue la manipulación de las reglas de cumplimiento de contenido en Google Workspace para la exfiltración silenciosa de datos. El atacante no utilizó un canal externo burdo, sino que aprovechó la infraestructura interna de la víctima para que esta misma entregara archivos a través de flujos legítimos.

Mandiant notificó directamente a las entidades canadienses afectadas y está brindando soporte técnico para la remediación. Ninguna institución comprometida ha sido nombrada públicamente hasta el cierre de este artículo. El GTIG no divulgó el número de organizaciones afectadas y no comentó si hay indicios de compromiso activo persistente después de noviembre de 2025.

La lectura para Canadá, Europa y Brasil

Para Canadá, es otro caso de espionaje cibernético estatal contra la base de investigación del país, y reabre el debate sobre el presupuesto y mandato del Communications Security Establishment, un debate que había quedado en un segundo plano desde el inicio del año. El esfuerzo de Ottawa por definir mínimos de ciberseguridad para universidades con financiación federal, en discusión desde 2025, recibe un nuevo argumento concreto.

Para Europa, el vector importa más que el resultado. El REDCap es utilizado en más de 6,000 instituciones en más de 145 países, incluidas grandes universidades alemanas, francesas y británicas. Imperial College London, Karolinska Institute y Charité Berlín aparecen en estudios publicados en 2026 citando el REDCap como herramienta de recolección de datos. La alerta del GTIG no delimita el ataque a las instituciones norteamericanas; describe una técnica de abuso que se aplica a cualquier instalación REDCap expuesta a Internet.

Para Brasil, el punto sensible es el conjunto de hospitales universitarios y centros de investigación que operan REDCap en flujos de ensayos clínicos. USP, Hospital de las Clínicas, Fiocruz y Hospital Israelita Albert Einstein operan instancias del software en proyectos con financiamiento de FAPESP y CAPES. Hasta ahora, no se ha reportado ningún ataque atribuido a la misma campaña en territorio brasileño, pero el vector de compromiso, actualizaciones de REDCap manipuladas y reglas de Workspace alteradas, se transfieren a cualquier instalación no auditada.

Lo que el C-level debe hacer ahora

La recomendación técnica del GTIG es directa. Bloquear el acceso externo a servidores REDCap, validar los checksums de todas las actualizaciones instaladas desde septiembre de 2023 y auditar las reglas de cumplimiento de contenido en Google Workspace, especialmente las creadas por usuarios administrativos no esperados. Para los CISOs de farmacéutica, biotecnología y defensa, la lista de verificación tiene un peso práctico inmediato.

La pieza que escapa del ámbito técnico es la duración. UNC6508 permaneció 14 meses dentro de redes académicas vinculadas a contratos de defensa sin ser detectado. La cuestión de gobernanza que esto plantea para cualquier institución con investigación sensible, en cualquier país, es si la separación entre redes de investigación universitaria y redes operativas de contratos críticos resiste a un adversario paciente que combina técnica de cadena de suministro con abuso de SaaS legítimo. El informe de Google sugiere que, sin inversión en monitoreo de actualización de software de investigación, la respuesta es no.