Netcrook Logo
👤 AGONY
🗓️ 27 Feb 2026   🌍 Asia

Operación Spreadsheet: Cómo Google y sus aliados aplastaron una red global de espionaje chino

Subtítulo: Google y sus socios desmantelan una sigilosa campaña de hackeo de años que utilizaba Google Sheets como arma para espiar a gobiernos y empresas de telecomunicaciones en todo el mundo.

Todo comenzó con una hoja de cálculo - una que no tenía nada que ver con presupuestos trimestrales ni listas de equipos. En cambio, era el improbable centro neurálgico de una vasta campaña de ciberespionaje que infiltró agencias gubernamentales y operadores de telecomunicaciones en cuatro continentes. Esta semana, una coalición liderada por el Grupo de Inteligencia de Amenazas de Google (GTIG) desconectó la operación, exponiendo las tácticas sombrías del grupo de hackers chino UNC2814 y enviando ondas de choque por el mundo de la ciberdefensa.

Dentro de un anillo de espionaje con hojas de cálculo

Desde al menos 2017, UNC2814 ha estado infiltrándose silenciosamente en redes bajo la presunta dirección del gobierno chino, con un enfoque particular en extraer inteligencia de objetivos gubernamentales y de telecomunicaciones. Lo que distinguió a esta campaña fue el uso de herramientas cotidianas en la nube con fines siniestros. El malware personalizado del grupo, apodado GRIDTIDE, convirtió Google Sheets - un pilar de la productividad en la nube - en un canal encubierto para comunicaciones de comando y control (C2).

En lugar de depender de tráfico sospechoso que pudiera activar alarmas, GRIDTIDE ocultaba sus instrucciones y datos robados en intercambios legítimos de la API de Google Sheets. Esta táctica permitió a los hackers moverse sin ser detectados, mezclando su actividad maliciosa con el ruido digital diario de organizaciones multinacionales. Las capacidades del malware incluían acceso persistente, transferencia de archivos y ejecución remota de comandos, todo orquestado desde una hoja de cálculo en la nube accesible solo para los atacantes.

La respuesta global

Desenmascarar esta operación requirió una coordinación sin precedentes. El GTIG, trabajando con Mandiant y otros socios de ciberseguridad, rastreó las huellas digitales del malware hasta proyectos de Google Cloud controlados por los atacantes. Actuando con rapidez, cerraron los proyectos, bloquearon las rutas de la API y publicaron detallados Indicadores de Compromiso (IOCs) para ayudar a organizaciones de todo el mundo a detectar amenazas similares.

Al cortar la infraestructura en la nube de los atacantes, los defensores efectivamente rompieron el acceso de UNC2814 a sus víctimas y desbarataron una campaña que había recolectado datos sensibles en silencio durante años. Si bien la eliminación representa una victoria significativa, los expertos advierten que estos grupos son resilientes y probablemente buscarán nuevos puntos de apoyo usando técnicas cada vez más creativas.

Escalando la carrera armamentista en la nube

El caso GRIDTIDE pone de relieve una tendencia preocupante: actores de amenazas sofisticados explotan cada vez más servicios legítimos en la nube para ocultar sus operaciones. A medida que las organizaciones dependen más de plataformas como Google Sheets, los defensores deben evolucionar sus estrategias de detección para identificar patrones maliciosos ocultos dentro del tráfico confiable.

Por ahora, Google y sus socios han ganado algo de tiempo para el mundo. Pero a medida que la carrera armamentista cibernética se intensifica, la vigilancia y la colaboración siguen siendo nuestras mejores defensas contra el próximo ataque habilitado por la nube.

WIKICROOK

  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • API (Interfaz de Programación de Aplicaciones): Una API es un conjunto de reglas que permite que diferentes sistemas de software se comuniquen, actuando como un puente entre aplicaciones. Las APIs son objetivos comunes en ciberseguridad.
  • Indicadores de Compromiso (IOCs): Los Indicadores de Compromiso (IoCs) son pistas como nombres de archivos, IPs o fragmentos de código que ayudan a detectar si un sistema informático ha sido vulnerado.
  • Puerta trasera: Una puerta trasera es una forma oculta de acceder a una computadora o servidor, eludiendo los controles de seguridad normales, utilizada a menudo por atacantes para obtener control secreto.
  • Acceso persistente: El acceso persistente ocurre cuando los atacantes establecen formas de mantener el control de un sistema, incluso si su punto de entrada original es descubierto y cerrado.
Chinese Espionage Google Sheets Cybersecurity
AGONY AGONY
Elite Offensive Security Commander
← Back to news