China lleva años leyendo las telecomunicaciones del planeta. Salt Typhoon —el grupo de ciberespionaje estatal chino— comprometió más de 600 organizaciones en más de 80 países, incluyendo AT&T, Verizon, T-Mobile y operadoras en Singapur, Reino Unido, Noruega, Italia y España. El FBI lo califica como “la mayor campaña de ciberespionaje de la historia” y, a principios de 2026, confirmó que la amenaza sigue activa.
Esto no es solo un problema de gobiernos y telcos. Si tu empresa depende de proveedores de telecomunicaciones —y todas las empresas lo hacen—, Salt Typhoon es un riesgo de cadena de suministro que vale la pena entender.
¿Qué es Salt Typhoon y por qué es diferente?
Salt Typhoon (también conocido como Operator Panda) es un grupo de ciberespionaje directamente vinculado al gobierno de la República Popular China. Activo desde al menos 2019, su especialidad es infiltrar silenciosamente redes de telecomunicaciones para interceptar comunicaciones, robar metadatos y mantener acceso persistente durante meses o años sin ser detectados.
Lo que distingue a Salt Typhoon de otros grupos de amenaza es su paciencia y su escala. No buscan robar datos de una empresa puntual: buscan acceso sistémico a la infraestructura que conecta a todos. Y lo han conseguido:
- AT&T, Verizon, T-Mobile: comprometidas, con acceso a sistemas de escucha legal (CALEA) que permiten interceptar llamadas en tiempo real
- Singapur: las cuatro operadoras principales del país (Singtel, StarHub, M1 Limited y TPG Telecom) sufrieron accesos no autorizados
- Reino Unido: actividad detectada desde 2021, con infiltración en redes cercanas a Downing Street
- Noruega: confirmó formalmente el 6 de febrero de 2026 que su infraestructura crítica de telecomunicaciones fue comprometida
- 13 naciones: Australia, Canadá, República Checa, Finlandia, Alemania, Japón, Países Bajos, Nueva Zelanda, Polonia y España firmaron una alerta conjunta
¿Cómo entraron? El vector de ataque que todos ignoran
Salt Typhoon no explota principalmente vulnerabilidades de día cero sofisticadas. Su acceso inicial suele venir de dispositivos de red expuestos: routers, firewalls y sistemas de acceso remoto con configuraciones por defecto o sin parchar. Una vez dentro, se mueven lateralmente a la velocidad de la infraestructura, aprovechando credenciales comprometidas y permisos excesivos.
El vector más preocupante documentado en EE.UU.: accedieron a los sistemas CALEA, los mismos que las telecomunicaciones están legalmente obligadas a tener para facilitar escuchas autorizadas por tribunales. En otras palabras, la puerta trasera que crearon los gobiernos para ellos mismos fue usada por un adversario estatal para escuchar a esos mismos gobiernos.
El senador Mark Warner, presidente del Comité de Inteligencia del Senado, lo resumió sin filtros: “Esta es posiblemente la peor brecha de telecomunicaciones en la historia de EE.UU.”
¿Qué datos se comprometieron exactamente?
El alcance de lo interceptado incluye:
- Llamadas en tiempo real de figuras políticas de alto perfil, incluyendo comunicaciones relacionadas con campañas electorales
- Metadatos masivos: quién llama a quién, desde dónde y cuánto tiempo
- Mensajes de texto (SMS) sin cifrado de extremo a extremo
- Sistemas de administración de red que podrían permitir interrumpir servicios en el futuro
Lo más alarmante: en diciembre de 2025, expertos del Comité de Comercio del Senado estadounidense advirtieron que las empresas afectadas aún no podían demostrar que los atacantes habían sido completamente erradicados de sus redes. Y en 2026, el FBI confirmó que la amenaza sigue “muy activa”.
Latinoamérica: zona de subregistro, no de ausencia
Hasta ahora, ninguna operadora latinoamericana ha confirmado públicamente estar entre las afectadas. Pero el patrón de Salt Typhoon —priorizar países con alianzas estratégicas con EE.UU. o con infraestructura de telecomunicaciones relevante— hace que el subregistro sea una explicación más probable que la ausencia real de intrusiones.
Chile, Brasil, México y Colombia tienen infraestructura de telecomunicaciones crítica con conexiones directas a carriers estadounidenses. La pregunta no es si son objetivos potenciales, sino si tienen la capacidad de detección para saberlo.
¿Qué pueden hacer las empresas?
La recomendación del FBI y CISA es clara pero exige inversión real:
- Cifrado de extremo a extremo para comunicaciones sensibles: Signal o aplicaciones equivalentes (aunque con las advertencias de la AIVD holandesa sobre su limitación para información clasificada)
- Actualización inmediata de dispositivos de red: routers, firewalls y switches con firmware al día
- Revisión de configuraciones: eliminar accesos remotos innecesarios, cambiar credenciales por defecto
- Segmentación de red: limitar el movimiento lateral si un atacante logra entrar
- Auditoría de proveedores de telecomunicaciones: entender qué acceso tienen a tus sistemas y redes
Por qué importa
Salt Typhoon revela algo incómodo: la infraestructura de telecomunicaciones que todos damos por hecha —la que mueve nuestras llamadas, SMS y datos— tiene niveles de exposición que la mayoría de las empresas nunca han auditado. No porque no les importe la seguridad, sino porque asumen que es responsabilidad del proveedor.
El modelo de “seguridad delegada” funciona hasta que no funciona. Y cuando la falla viene de un actor estatal con siete años de acceso silencioso a las redes que conectan continentes enteros, el daño ya está hecho mucho antes de que llegue cualquier alerta.
Para los founders y equipos en LATAM: este es el momento de revisar qué comunicaciones sensibles pasan por canales sin cifrado real. Los metadatos de quién habla con quién, desde dónde y cuándo ya son suficiente para construir mapas de relaciones comerciales que pueden valer más que el contenido de las conversaciones.
El espionaje industrial no siempre parece espionaje. A veces parece solo ciberseguridad ordinaria que nadie priorizó.
