Salt Typhoon: el espionaje chino que desnuda al Congreso de EEUU

Las relaciones entre Estados Unidos y China suman un capítulo inquietante. Según reveló el Financial Times, el Ministerio de Seguridad del Estado chino habría penetrado durante años en las comunicaciones internas de varios comités del Congreso, en una operación bautizada como Salt Typhoon.
El objetivo: asesores y personal de los comités de China, Asuntos Exteriores, Inteligencia y Servicios Armados, es decir, el corazón del diseño estratégico de Washington. El alcance: acceso a correos electrónicos, llamadas, mensajes de texto y buzones de voz no cifrados, creando una ventana privilegiada a la cocina de la política estadounidense.

La brecha se detectó en diciembre, pero su origen se remonta a mucho antes, en una campaña meticulosa y persistente. «No hablamos de un pinchazo puntual, sino de una presencia silenciosa y prolongada», advierte Javier López, analista de ciberseguridad consultado por Negocios TV.
La consecuencia es clara: la primera potencia mundial ha descubierto que su Cámara de Representantes no es tan inexpugnable como presumía, y que en la guerra cibernética contemporánea los flancos más expuestos pueden estar más cerca de lo que se piensa.

Una operación silenciosa durante años

Salt Typhoon no es un ataque aislado, sino una campaña sostenida en el tiempo. Según las primeras filtraciones, la operación habría estado activa durante varios años, con fases de mayor y menor intensidad, pero siempre con un objetivo: mantener acceso persistente a los flujos internos de información del Congreso.

La elección del Congreso, y no de la Casa Blanca, tiene todo el sentido estratégico. Ahí se elaboran borradores de leyes, resoluciones, paquetes de sanciones y marcos de ayuda militar antes de que sean públicos. Tener una lectura adelantada de esos documentos otorga a Pekín semanas de ventaja para calibrar su respuesta, ajustar su diplomacia y preparar contramedidas económicas o tecnológicas.

«Si han leído durante años los correos de los comités clave, han leído, en la práctica, el borrador de cada estrategia contra China», resume Javier López. Ese es el verdadero valor del espionaje: no solo saber lo que piensa el adversario, sino cuándo planea mover ficha y con qué apoyos internos.

La magnitud del caso expone un problema de fondo: el Congreso comparte la imagen de institución solemne, pero opera sobre sistemas heredados, con capas de seguridad desiguales y fuerte dependencia de proveedores externos. El escenario perfecto para una campaña paciente como Salt Typhoon.

Cómo funcionaba Salt Typhoon

De acuerdo con los primeros análisis, Salt Typhoon habría seguido un patrón clásico de operación avanzada persistente (APT). El vector de entrada se situaría en cuentas de correo de asesores y personal técnico, probablemente mediante una combinación de phishing sofisticado, explotación de vulnerabilidades en servidores de correo y credenciales robadas.

Una vez dentro, los atacantes movían lateralmente por la red interna, identificando buzones sensibles, listas de distribución y dispositivos vinculados a los mismos usuarios. El objetivo no era un golpe ruidoso, sino leer sin ser vistos. De ahí que, además de correos, se accediera a registros de llamadas, mensajes de texto y buzones de voz siempre que estos no estuvieran cifrados.

Según explica el analista Javier López, «lo más preocupante no es solo qué han visto, sino cuánto tiempo han podido verlo sin ser detectados». Las estimaciones preliminares apuntan a que decenas —posiblemente más de 200— asesores y funcionarios podrían haber sido objetivo directo o indirecto de la campaña.

Este nivel de persistencia sugiere recursos significativos y respaldo estatal, coherentes con una operación dirigida desde el Ministerio de Seguridad del Estado chino. No hablamos de ciberdelincuentes aislados, sino de un aparato organizado capaz de sostener infraestructura, adaptar técnicas y coordinar equipos durante años.

Por qué estos comités eran el objetivo perfecto

Salt Typhoon no golpea al azar. Los comités afectados —China, Asuntos Exteriores, Inteligencia y Servicios Armados— forman el núcleo duro de la formulación de la política exterior y de seguridad de Estados Unidos.

El Comité sobre China maneja audiencias, informes y propuestas de ley específicas sobre Pekín, desde aranceles hasta controles de exportación tecnológica. Asuntos Exteriores marca las grandes líneas de alianzas, sanciones y acuerdos diplomáticos. Inteligencia filtra y sintetiza informes clasificados de la comunidad de inteligencia, y Servicios Armados supervisa presupuesto militar, programas de armamento y despliegues.

Espiar esos nodos significa tener acceso a:

• Borradores de sanciones económicas antes de su anuncio.

• Debates internos sobre apoyo militar a aliados en Asia-Pacífico.

• Valoraciones de la amenaza tecnológica china (chips, 5G, IA).

• Negociaciones discretas con terceros países para contener la influencia de Pekín.

«Es la mano que escribe las reglas del juego», apunta López. Entender los matices de esas discusiones —qué congresistas dudan, qué lobbies presionan, qué argumentos calan— ofrece a China una ventaja incomparable para anticipar, filtrar o explotar las divisiones internas de Washington.

El diagnóstico de Washington: vulnerabilidades de fondo

La brecha se descubrió en diciembre, en el marco de un refuerzo de vigilancia sobre actividades de ciberespionaje vinculadas a China. La reacción inmediata ha sido la habitual: cierre de accesos, auditorías forenses, reset masivo de credenciales y actualización de sistemas. Pero la dimensión política va mucho más allá del parcheo técnico.

Salt Typhoon revela que, pese a décadas de inversiones, la arquitectura de seguridad del Congreso sigue siendo irregular. Conviven sistemas modernos con aplicaciones legacy, prácticas de seguridad avanzadas con hábitos básicos de mala higiene digital. Basta con que un porcentaje reducido de usuarios —un 10% o 15%, según estimaciones internas— ignore protocolos para abrir puertas a atacantes pacientes.

Además, la Cámara depende de proveedores externos y subcontratas que, a menudo, operan bajo estándares de seguridad desiguales. Cada correo reenviado a una cuenta personal, cada documento descargado en un dispositivo no autorizado, cada buzón de voz sin cifrar, se convierte en eslabón débil de una cadena que debería ser inquebrantable.

El resultado es un diagnóstico incómodo: la seguridad no ha fallado solo por falta de tecnología, sino por una combinación de cultura, formación insuficiente y priorización política limitada. Mientras otras agendas acaparan titulares, la ciberdefensa del Congreso ha ido quedando en segundo plano.

El pulso tecnológico entre Washington y Pekín

Salt Typhoon es, en realidad, una batalla más en una guerra tecnológica mucho más amplia. Estados Unidos y China compiten en semiconductores, redes 5G, inteligencia artificial, satélites y estándares de internet. El ciberespionaje es la tercera dimensión de ese pulso, junto al comercio y la geopolítica clásica.

Pekín no solo busca información: busca reducir la asimetría de poder frente a un país que controla buena parte de las infraestructuras críticas globales, desde la banca corresponsal hasta las grandes plataformas de cloud. Washington, por su parte, presenta este tipo de operaciones como prueba de que China no juega limpio, reforzando el discurso de “rival sistémico” que ya domina en Europa.

Para los mercados, el mensaje es doble. Por un lado, se refuerza la narrativa de desacople tecnológico: más trabas a compras cruzadas, más escrutinio regulatorio, más presión para relocalizar cadenas críticas. Por otro, la constatación de que la ciberseguridad deja de ser un coste para convertirse en un factor de competitividad. Quien no pueda proteger sus datos, sus diseños o sus decisiones de alto nivel, pierde margen de maniobra político y económico.

Aliados, OTAN y el riesgo de contagio

La brecha en el Congreso tiene impacto más allá de Estados Unidos. Muchos aliados —desde Europa hasta Asia— comparten información sensible con los comités afectados: informes conjuntos, borradores de sanciones coordinadas, planes de ejercicios militares o intercambios de inteligencia.

Si Salt Typhoon ha tenido acceso a esos intercambios, el problema no es solo doméstico. OTAN, socios del Indo-Pacífico y organismos multilaterales deben asumir la posibilidad de que parte de sus comunicaciones haya quedado expuesta. «Cuando uno de los nodos de la red se ve comprometido, la pregunta no es si el daño se queda en casa, sino cuánto se ha propagado», advierte Javier López.

La respuesta lógica será un refuerzo coordinado de la seguridad digital en parlamentos, ministerios y cuarteles generales, con auditorías cruzadas y nuevos estándares mínimos. Pero también puede acelerar la desconfianza entre socios, especialmente si algunos perciben que Washington no ha sido lo suficientemente transparente sobre el alcance real de la brecha. En un momento de máxima tensión con Rusia y con Oriente Medio en ebullición, la cohesión aliada es un activo que no admite más fisuras.

Democracias digitales, atacantes y un juego asimétrico

El caso Salt Typhoon deja una reflexión de fondo: las democracias avanzadas siguen sin estar plenamente equipadas para defender sus procesos internos en la era digital. La apertura, la pluralidad de actores, la transparencia y la fragmentación institucional —virtudes del sistema— se convierten en superficie de ataque para adversarios con estructuras más verticales y recursos concentrados.

Las tecnologías de defensa evolucionan, pero el juego sigue siendo de gato y ratón. Cada parche abre una nueva grieta, cada actualización introduce potencialmente nuevas vulnerabilidades. Mientras tanto, los atacantes cuentan con paciencia casi ilimitada, capacidad de ensayo-error y, en el caso de Estados, presupuestos que se cuentan en miles de millones.

La conclusión es incómoda: el riesgo cero no existe. Pero eso no exime de responsabilidad. Elevar la inversión en ciberprotección, formar de verdad al personal (no solo con cursos simbólicos), adoptar arquitecturas de “confianza cero” (zero trust) y aceptar que la seguridad es un proceso continuo, no un proyecto puntual, son pasos ineludibles.

«La vulnerabilidad puede estar a una tecla de distancia, pero la negligencia también», resume el analista. Salt Typhoon no solo retrata la sofisticación de la ciberinteligencia china; desnuda, sobre todo, las carencias de quienes deberían haber protegido mejor el corazón digital de una democracia que se proclama modelo para el mundo.