EscucharEl ataque informático denunciado por el Instituto Costarricense de Electricidad (ICE) este jueves 12 de marzo puede ser atribuido, según un cruce de información realizado por El Financiero, a un grupo cibercriminal de origen chino.
El ICE detectó movimientos sospechosos a finales de enero pasado, mientras que el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) confirma que el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT‑CR) recibió alertas a finales de febrero anterior.
El informe de la brecha de seguridad proviene directamente de Mandiant, subsidiaria de Google. Las autoridades dijeron este jueves en conferencia de prensa, sin mencionar el nombre de ningún grupo, que Mandiant había concluido que quienes habían atacado al ICE eran los mismos responsables de un ataque en otros 42 países y que eran de origen chino.
Según los informes públicos de Google y Mandiant, la descripción que brindaron las autoridades coincide con la campaña GRIDTIDE atribuida al grupo UNC2814.
La atribución específica de este incidente al grupo UNC2814 proviene del cruce de fuentes oficiales costarricenses con los informes públicos de Mandiant y Google; no existe por ahora una lista pública de víctimas donde aparezca el ICE.
El ICE indica que no hay reportes de daños en sus servicios ni extracción de datos de usuarios, aunque su propia investigación señala la vulneración de 9 GB de datos de correos electrónicos administrativos.
¿Quiénes son?
El grupo de cibercriminales conocido como UNC2814, también es identificado por el alias Gallium. Es una red de actores de ciberespionaje vinculada a la República Popular China, que opera desde el año 2017. Diversas firmas de ciberseguridad le atribuyen nexos con el aparato de inteligencia estatal de dicho país.
No hay una atribución oficial 100% pública por parte de Pekín.
De hecho, las autoridades chinas niegan cualquier vínculo y califican las informaciones como malintencionadas.
Su actividad se desarrolla a nivel global. Esta última campaña de ataques fue confirmada en 42 países de África, Asia, Europa y América contra entidades gubernamentales (ministerios y agencias) y operadores de telecomunicaciones.
El propósito de estas incursiones es la obtención de metadatos de comunicaciones, registros de llamadas e información sensible.
Técnicas y herramientas
La metodología del grupo cibercriminal UNC2814 no se basa en la explotación de fallos de seguridad, sino en el abuso de funcionalidades legítimas de servicios en la nube.
De esa forma, puede camuflar el tráfico malicioso como si fuera una actividad benigna.
Entre sus técnicas clave se encuentran:
—Uso de llamadas a las aplicaciones de integración (APIs) para comunicación con infraestructura de comando y control.
—Técnicas de living-off-the-land, que consisten en utilizar herramientas nativas del sistema operativo para desplazarse por las redes y evitar la detección
—Mantenimiento de acceso persistente en los sistemas comprometidos durante periodos de tiempo prolongados
Puerta trasera
El ataque o campaña de ataques más recientes de estos cibercriminales se conoce como GRIDTIDE, dirigida a operadores de telecomunicaciones.
Aquí utiliza un sistema malicioso (malware) de control remoto escrito en lenguaje de programación conocido como C, creado específicamente por este grupo para sistemas basados en Linux y de telecomunicaciones.
Se le conoce también como técnica de la puerta trasera (backdoor). Las autoridades investigan si este fue el método con el que irrumpieron en los sistemas del ICE.
¿Cómo funciona?
El malware se conecta a una hoja de cálculo conocida como Google Sheets. La conexión es específicamente configurada por el atacante, según ha explicado Google.
En esa conexión usa la API para comunicarse y definir un esquema de celdas que operan como “cajas de mensajes”. Estas celdas reciben instrucciones del atacante y envían los datos robados.
GRIDTIDE funciona oculta en segundo plano y se mantiene operando incluso tras cualquier reinicio del sistema. Esto permite que el tráfico parezca una conexión legítima a una aplicación de oficina.
El atacante lanza varios comandos para que siga corriendo aunque se cierre la sesión. Puede ejecutar comandos arbitrarios, subir y descargar archivos y moverse lateralmente dentro de la red usando herramientas nativas del sistema, según la firma Telefónica Tech, con sede en Madrid, España.
Para los sistemas de seguridad tradicionales, el tráfico parece simplemente un usuario que accede a una hoja de cálculo, lo que dificulta la detección.
Google enfatiza que el ataque no se basa en vulnerabilidades de seguridad en sus productos, sino en el abuso de funcionalidades legítimas de la nube (por ejemplo Google Workspace), lo que lo hace difícil de detectar.
Impacto global
En febrero de 2026, las unidades de Google (Threat Intelligence Group y Mandiant) informaron sobre la desarticulación de gran parte de la infraestructura de este grupo.
Sin embargo, por sus características, este ataque al ICE en Costa Rica se enmarca en la misma campaña global que ya ha sido confirmada por 53 organizaciones en 42 países. En América Latina se detectaron operaciones en Chile, Brasil, Perú, Colombia y Panamá.
Se sospecha de infecciones en al menos 20 países adicionales donde el grupo UNC2814 opera, lo que sugiere que lleva años funcionando sin ser descubierto en muchas redes.
De hecho, en varios casos, mantuvo acceso persistente durante años, usando herramientas nativas del sistema operativo.
Los blogs especializados en ciberseguridad indican que, pese a su vínculo con China, este grupo de hackers cuenta con infraestructura de redes y control en varios países, sin que se haya revelado una única “base” geográfica.
