{"id":184277,"date":"2026-02-25T16:55:58","date_gmt":"2026-02-25T15:55:58","guid":{"rendered":"https:\/\/liora.io\/es\/dentro-del-masivo-desmantelamiento-de-la-red-de-espionaje-gridtide"},"modified":"2026-02-26T11:53:36","modified_gmt":"2026-02-26T10:53:36","slug":"dentro-del-masivo-desmantelamiento-de-la-red-de-espionaje-gridtide","status":"publish","type":"post","link":"https:\/\/liora.io\/es\/dentro-del-masivo-desmantelamiento-de-la-red-de-espionaje-gridtide","title":{"rendered":"Dentro del masivo desmantelamiento de la red de espionaje GRIDTIDE"},"content":{"rendered":"<p><strong>Google y Mandiant interrumpieron una importante campa\u00f1a de ciberespionaje china en febrero de 2026 que hab\u00eda comprometido a 53 v\u00edctimas en 42 pa\u00edses desde 2017, dirigida principalmente a proveedores de telecomunicaciones y organizaciones gubernamentales. La operaci\u00f3n, denominada GRIDTIDE, emple\u00f3 una novedosa puerta trasera que secuestr\u00f3 Google Sheets para comunicarse clandestinamente con los hackers, permitiendo que el presunto grupo vinculado a China UNC2814 mezclara la actividad maliciosa con el tr\u00e1fico leg\u00edtimo de la nube mientras robaba datos sensibles, incluida informaci\u00f3n personal y registros de comunicaciones.<\/strong><\/p>\n<p>El desmantelamiento representa una de las interrupciones m\u00e1s significativas del ciberespionaje chino en los \u00faltimos a\u00f1os, seg\u00fan un informe detallado del <strong>Grupo de Inteligencia de Amenazas de Google<\/strong> y <strong>Mandiant<\/strong>. La respuesta coordinada implic\u00f3 cerrar los Proyectos de Google Cloud de los atacantes, deshabilitar su infraestructura y revocar el acceso a la API de Google Sheets que sirvi\u00f3 como columna vertebral de la operaci\u00f3n.<\/p>\n<p>Durante la investigaci\u00f3n, los expertos de seguridad descubrieron que la puerta trasera hab\u00eda accedido a sistemas que conten\u00edan <strong>extensa informaci\u00f3n de identificaci\u00f3n personal<\/strong>, incluyendo nombres completos, n\u00fameros de tel\u00e9fono, fechas de nacimiento y documentos nacionales de identidad. Google indic\u00f3 que este nivel de acceso permitir\u00eda a los atacantes monitorizar las comunicaciones y vigilar a disidentes, activistas y otros objetivos de inter\u00e9s.<\/p>\n<p>El enfoque de la campa\u00f1a en <strong>empresas de telecomunicaciones<\/strong> se alinea con los esfuerzos hist\u00f3ricos de espionaje chino destinados a robar registros de datos de llamadas y mensajes SMS con fines de vigilancia, seg\u00fan el informe. M\u00e1s all\u00e1 de las <strong>42 intrusiones confirmadas<\/strong>, los investigadores identificaron otras <strong>20 naciones<\/strong> sospechosas de haber sido infectadas.<\/p>\n<h3 style=\"margin-top: 2rem;margin-bottom: 1rem\">Innovaci\u00f3n t\u00e9cnica y evasi\u00f3n<\/h3>\n<p>La puerta trasera GRIDTIDE represent\u00f3 una evoluci\u00f3n sofisticada en las t\u00e9cnicas de ciberespionaje. El malware se comunicaba con sus operadores sondeando celdas espec\u00edficas dentro de Google Sheets, haciendo que el tr\u00e1fico malicioso pareciera un uso leg\u00edtimo de los servicios en la nube. La <strong>Celda A1<\/strong> recib\u00eda \u00f3rdenes, la <strong>Celda V1<\/strong> almacenaba las huellas de las m\u00e1quinas v\u00edctimas y celdas adicionales gestionaban transferencias de datos m\u00e1s grandes en <strong>fragmentos de 45 kilobytes<\/strong>, seg\u00fan el an\u00e1lisis t\u00e9cnico de Google.<\/p>\n<p>Todos los datos transmitidos estaban codificados usando una variante de Base64 segura para URL con el fin de evadir los filtros web y los sistemas de detecci\u00f3n. Los atacantes tambi\u00e9n aprovecharon <strong>Google Drive<\/strong> para almacenar configuraciones de malware e implementaron <strong>SoftEther VPN Bridge<\/strong> para crear conexiones cifradas que ocultaban a\u00fan m\u00e1s sus actividades.<\/p>\n<p>Una vez dentro de las redes, <strong>UNC2814<\/strong> se desplaz\u00f3 lateralmente mediante SSH utilizando cuentas de servicio y estableci\u00f3 persistencia creando servicios systemd que iniciar\u00edan autom\u00e1ticamente el malware al arrancar el sistema, seg\u00fan revelaron los investigadores.<\/p>\n<p>Google y Mandiant han proporcionado estrategias de detecci\u00f3n espec\u00edficas para las organizaciones, que incluyen monitorizar procesos ajenos al navegador que realicen solicitudes HTTPS a Google Sheets e identificar ejecutables que se inicien desde directorios inusuales. La interrupci\u00f3n pone de manifiesto c\u00f3mo los servicios leg\u00edtimos en la nube est\u00e1n siendo instrumentalizados cada vez m\u00e1s para el espionaje, desafiando los enfoques de seguridad tradicionales que conf\u00edan por defecto en las principales plataformas.<\/p>\n<div style=\"margin-top: 3rem;padding-top: 1.5rem;border-top: 1px solid #e2e4ea\">\n<h3 style=\"margin: 0 0 0.75rem;font-size: 1.1rem;letter-spacing: 0.08em;text-transform: uppercase\">Sources<\/h3>\n<ul style=\"margin: 0;padding-left: 1.2rem\">\n<li>Google Cloud<\/li>\n<\/ul>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Google y Mandiant interrumpieron una importante campa\u00f1a de ciberespionaje china en febrero de 2024 que hab\u00eda comprometido a 53 v\u00edctimas en 42 pa\u00edses desde 2017, dirigida principalmente a proveedores de telecomunicaciones y organizaciones gubernamentales. La operaci\u00f3n, denominada GRIDTIDE, emple\u00f3 una novedosa puerta trasera que secuestr\u00f3 Google Sheets para comunicarse clandestinamente con los hackers, permitiendo que el presunto grupo vinculado a China UNC2814 mezclara la actividad maliciosa con el tr\u00e1fico leg\u00edtimo de la nube mientras robaba datos sensibles, incluida informaci\u00f3n personal y registros de comunicaciones.<\/p>\n","protected":false},"author":87,"featured_media":184276,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"editor_notices":[],"footnotes":""},"categories":[2436,2428],"class_list":["post-184277","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","category-noticias"],"acf":[],"_links":{"self":[{"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/posts\/184277","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/users\/87"}],"replies":[{"embeddable":true,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/comments?post=184277"}],"version-history":[{"count":1,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/posts\/184277\/revisions"}],"predecessor-version":[{"id":184418,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/posts\/184277\/revisions\/184418"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/media\/184276"}],"wp:attachment":[{"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/media?parent=184277"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/categories?post=184277"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}