Una operación de phishing de varios años dirigida a los sectores aeroespacial y de defensa de Estados Unidos ha revelado cómo los atacantes manipularon con éxito las relaciones de confianza para obtener software sensible, incluso de empleados vinculados a la NASA.
Según hallazgos de la Oficina del Inspector General de la NASA, un ciudadano chino orquestó una sofisticada campaña de ingeniería social haciéndose pasar por investigadores e ingenieros con base en Estados Unidos. El atacante utilizó correos electrónicos cuidadosamente elaborados e identidades falsas para convencer a las víctimas de que se comunicaban con colegas legítimos.
El programa se desarrolló desde 2017 hasta 2021 y se dirigió a una amplia gama de organizaciones, incluyendo la NASA, el ejército estadounidense, agencias federales, universidades y empresas privadas. Se abordó a las víctimas con solicitudes de acceso a software aeroespacial propietario y código fuente, a menudo bajo el pretexto de colaboración o intercambio académico.
Los investigadores descubrieron que en varios casos, los objetivos cumplieron sin saberlo, enviando datos controlados o restringidos sin darse cuenta de que el destinatario formaba parte de una operación vinculada a inteligencia extranjera. Se cree que el software robado tiene aplicaciones en modelado aerodinámico y desarrollo avanzado de armas, lo que genera preocupaciones de seguridad nacional.
El responsable de la campaña fue identificado como Song Wu, un ingeniero vinculado a una empresa estatal china de aeroespacial y defensa. Las autoridades estadounidenses lo acusaron en 2024 de fraude electrónico y robo de identidad agravado. Sigue prófugo y figura entre los sospechosos buscados.
La operación se basó en gran medida en la ingeniería social más que en exploits técnicos. Los atacantes invirtieron tiempo en investigar objetivos, construir personajes creíbles y mantener una comunicación a largo plazo para establecer confianza. En algunos casos, se utilizaron repetidas solicitudes de software y métodos irregulares de pago o transferencia, que los investigadores señalaron posteriormente como señales de advertencia.
Los funcionarios subrayaron que el caso demuestra cómo incluso organizaciones altamente técnicas siguen siendo vulnerables a ataques centrados en humanos. Al eludir los controles tradicionales de seguridad y explotar las relaciones profesionales, la campaña pudo extraer información sensible sin provocar sospechas inmediatas.
El incidente refleja un patrón más amplio en el ciberespionaje, donde los actores malintencionados priorizan el robo de credenciales, la suplantación y la manipulación de confianza por encima del compromiso directo del sistema. Los expertos en seguridad continúan subrayando la importancia de la concienciación de los empleados y de procedimientos estrictos de manejo de tecnologías controladas por exportación para reducir la exposición a ataques similares.