China avanza con cierta discreción en su senda tecnológica con un fin concreto: transformarse en una verdadera ciberpotencia mundial. Sus avances constituyen un reto para las estrategias de ciberseguridad a nivel global, tanto en el campo empresarial como en el de los Estados, sobre todo porque se configura como una potencia silenciosa, que pasa desapercibida al priorizar el espionaje frente a la destrucción a la hora de identificar y explotar vulnerabilidades. Su habilidades técnicas reforzadas y la sofisticación de sus intervenciones ha hecho que algunas voces hayan llamado la atención sobre su creciente capacidad estratégica.
El posicionamiento del país liderado por Xi Jinping no es casual. Es fruto de una estrategia planteada en 2014 con visión a largo plazo y en la que el Ejecutivo chino ha invertido ingentes cantidades de recursos de todo tipo: financieros, tecnológicos y, sobre todo, en investigación y desarrollo de talento más innovador. De ahí que gigantes como Google hayan puesto sobre el tapete el rol protagónico que ha ido adquiriendo, sobre todo si hablamos lo que se denomina como “ataques de día cero”.
¿Qué se entiende por zero-day attack? De acuerdo con IBM, se trata de una modalidad de ciberataque que se basa un fallo de seguridad desconocido, que nadie ha detectado salvo los atacantes, que pueden permanecer allí en silencio durante un periodo de tiempo amplio. Al ser nuevo, esto supone que ni el software, ni el hardware ni el firmware del sistema informático cuenta con una respuesta. Se le denomina “ataque de día cero” porque el proveedor de software o dispositivo tiene un total de cero días para intervenir y arreglar el fallo, pues los ciberatacantes pueden usarlo en cualquier momento, sin que nadie se dé cuenta, para acceder a sistemas vulnerables e implantar malware, robar datos o causar un perjuicio a los usuarios, organizaciones o sistemas de otras maneras. Su base está en la capacidad de eludir controles de seguridad tradicionales que parecen fiables.
Además, los grupos cibernéticos chinos cuentan con estrategias para dificultar su detección. Por ejemplo, no cuentan con infraestructura propia, sino que cuentan con servidores y puntos de acceso de alquiler. Esto les permite ir moviéndose constantemente de un proveedor a otro, obstaculizando el rastreo.
Por otra parte, aunque utilizan inicialmente un malware básico que no genera gran preocupación ni levantan sospechas, una vez que acceden a los sistemas tienen la capacidad de desplegar sistemas más sofisticados.
Los grupos de hackers más avanzados constituyen lo que se conoce como amenazas persistentes avanzadas (APT en sus siglas inglesas) y suelen estar patrocinados por gobiernos, están bien dotados de medios y recursos estatales. Todo ello facilita la ejecución de intervenciones de alta complejidad, ataques relámpago y dificultad en el seguimiento. Son casi como cibermercenarios capaces de atacar, espiar y ejecutar sabotajes sin afectar de manera directa a la diplomacia.
Con el foco en el espionaje
Según el informe sobre ciberamenazas Global Threat Report que publica anualmente la consultora de ciberseguridad CrowdStrike, el ciberespionaje desarrollado por piratas informáticos vinculados a Pekín creció un 150% el pasado ejercicio. Sin embargo, los ataques que afectaron a las entidades financieras, de ingeniería o medios de comunicación aumentaron un 300%. En 2024 se identificaron otros siete grupos de hackers de nueva creación con vínculos con China, que ya contaría con unos 13 APT.
Hay una seña de identidad característica de los ciberataques que tienen su origen en el gigante asiático y es que el objetivo final de sus intervenciones para explotar vulnerabilidades no es la destrucción de los sistemas a los que acceden, sino permanecer sin ser identificados para poner el foco en actividades de espionaje. Esto es una diferencia estratégica de enorme relevancia frente a, por ejemplo, el caos de los ciberatacantes rusos, norcoreanos o iraníes. Por ejemplo, en el caso de Corea del Norte, el grupo Lazarus de hackers protagonizó hace poco el robo de 1.500 millones de dólares a la plataforma de criptomonedas ByBit, un golpe para financiar las maltrechas cuentas del régimen de Pyongyang.
Lo que realmente genera preocupación es que con estos avances se estén posicionando en espacios en infraestructuras críticas para los países occidentales, de manera que cuenten con la posibilidad de realizar ataques en el futuro, por ejemplo, en servicios energéticos, y poner en jaque la estabilidad de otros Estados. En definitiva, es un as bajo la manga. Tal como destacó Sandra Joyce, vicepresidenta del Grupo de Inteligencia de Amenazas de Google en el evento Google Cloud Next 2025, el hecho de que no hayan ejecutado estas capacidades para causar daño no significa que no puedan hacerlo.
Con todo, la mayoría de los ciberataques se limitan a explotar errores básicos como el phishing y el robo de credenciales porque detrás de ellos solo hay motivaciones económicas más que geopolíticas. Se trata de piratas que solo buscan el lucro al acceder a los sistemas de grandes empresas y cobrar un rescate.
Pero las señales e informes ponen el acento en esta amenaza para la seguridad de países occidentales, con el foco en Europa, que debe prepararse para detectar e identificar infiltraciones que se hayan podido realizar pasando totalmente desapercibidas y también para responder en caso de que se produzca un ataque que vaya más allá del espionaje y que intervenga para causar daño a la población o someterla a una situación extrema que derive en malestar o en aislamiento. El riesgo está ahí y los Estados no deberían ignorarlo.