Las autoridades estadounidenses han recibido en extradición desde Italia al ciudadano chino Xu Zewei, al que vinculan con el grupo de ciberespionaje estatal Silk Typhoon. El caso se centra en una serie de ataques contra universidades y organismos públicos de Estados Unidos, con especial foco en el robo de investigaciones sobre vacunas y pruebas de COVID‑19 y en la explotación de vulnerabilidades en Microsoft Exchange Server, uno de los servidores de correo corporativo más extendidos del mercado.
Extradición desde Italia y cargos de ciberespionaje contra universidades de EE. UU.
Según el Departamento de Justicia de EE. UU. (DoJ), Xu, de 34 años, fue detenido en julio de 2025 en Italia y posteriormente extraditado. La acusación le atribuye nueve cargos de fraude electrónico (wire fraud), conspiración para acceder de forma no autorizada a sistemas protegidos, causar daños a dichos sistemas y robo de identidad agravado. El fraude electrónico se utiliza habitualmente en Estados Unidos para perseguir actividades delictivas que emplean redes de comunicaciones —por ejemplo, internet— como medio para ejecutar estafas o intrusiones.
La investigación sostiene que Xu habría actuado junto con otro ciudadano chino, Zhang Yu, supuestamente bajo la dirección del Shanghai State Security Bureau (SSSB), dependiente del Ministerio de Seguridad del Estado (MSS) de la República Popular China. Zhang permanece en paradero desconocido. Los fiscales atribuyen a esta presunta célula campañas sostenidas de intrusión contra universidades estadounidenses y organismos gubernamentales entre 2020 y 2021.
Silk Typhoon, Hafnium y explotación de Microsoft Exchange Server
Empresas contratistas al servicio del Ministerio de Seguridad del Estado chino
En el momento de las operaciones, Xu trabajaba para la empresa Shanghai Powerock Network Co. Ltd., descrita por el DoJ como una “enabling company”: compañías privadas que, en la práctica, actúan como contratistas de los servicios de inteligencia chinos. Este modelo de subcontratación crea una capa adicional entre el Estado y la operación técnica, lo que dificulta la atribución y permite a los gobiernos mantener un mayor grado de negación plausible ante acusaciones de ciberespionaje.
Zero-day en Microsoft Exchange y despliegue masivo de web shells
Parte de los cargos se relacionan con la explotación de vulnerabilidades zero-day en Microsoft Exchange Server. Una vulnerabilidad “zero‑day” es un fallo de seguridad desconocido públicamente que los atacantes pueden aprovechar antes de que exista un parche o una mitigación oficial. En este caso, las fallas permitían acceso remoto sin autenticación a los servidores de correo comprometidos, abriendo la puerta a la exfiltración de información sensible.
Microsoft rastreó esta actividad bajo el identificador Hafnium, uno de los clústeres de amenazas asociados con operadores de habla china. De acuerdo con informes públicos de Microsoft y de la agencia estadounidense CISA, los atacantes desplegaron web shells —scripts que otorgan control remoto persistente— en decenas de miles de servidores Exchange en todo el mundo en 2021. Estos web shells facilitaron el robo de correos, la escalada de privilegios y la instalación de malware adicional tanto en el sector público como en el privado.
Robo de investigaciones sobre COVID‑19 como objetivo estratégico
La acusación detalla que, desde principios de 2020, Xu y sus presuntos colaboradores centraron sus ataques en universidades, inmunólogos y virólogos estadounidenses involucrados en el desarrollo de vacunas, terapias y pruebas diagnósticas frente a la COVID‑19. El objetivo habría sido obtener acceso a resultados de ensayos clínicos, modelos de investigación, propiedad intelectual y comunicaciones internas, buscando ventaja científica y económica.
Este patrón encaja con el comportamiento observado durante la pandemia: múltiples informes de ciberinteligencia atribuyeron a grupos patrocinados por Estados —no solo de China, sino también de Rusia, Irán o Corea del Norte— intentos sistemáticos de robar conocimientos médicos y farmacéuticos. Para muchos países, acelerar el acceso a tecnología sanitaria crítica se convirtió en una prioridad estratégica, y el ciberespionaje fue una de las vías empleadas.
Dimensión legal, atribución y cooperación internacional
Xu niega todas las acusaciones y sostiene que se trata de un caso de identificación errónea. Su defensa afirma que se encontraba de viaje turístico en Milán en el momento de la detención. En la primera comparecencia ante un tribunal estadounidense, se declaró no culpable de todos los cargos. Conforme a los principios del derecho penal, mantiene la presunción de inocencia hasta que exista una sentencia firme.
La extradición desde Italia ilustra el creciente grado de cooperación internacional frente al cibercrimen y el ciberespionaje. Sin embargo, también subraya la complejidad de la atribución técnica en el ciberespacio: los jueces deberán valorar la solidez de registros de logs, artefactos forenses, indicadores de compromiso y trazas de infraestructura para determinar si se puede vincular de forma concluyente las actividades maliciosas con individuos concretos y con estructuras estatales.
Implicaciones para la ciberseguridad corporativa y medidas de defensa
El caso Silk Typhoon/Hafnium refuerza una idea clave: las organizaciones que manejan datos sensibles —especialmente en sanidad, educación e I+D— son objetivos prioritarios para actores estatales. La pregunta ya no es si una universidad o laboratorio será atacado, sino cuándo y con qué nivel de preparación se encontrará.
Entre las medidas de protección más relevantes en este contexto destacan:
— Gestión de parches y hardening acelerado. Las vulnerabilidades de alto impacto, como las de Microsoft Exchange, pasan rápidamente de operaciones selectivas a campañas masivas. Reducir al máximo la ventana entre la publicación del parche y su despliegue es crítico.
— Segmentación de red y principio de mínimo privilegio. El compromiso de un servidor de correo no debería otorgar acceso ilimitado al resto de la infraestructura. Diseñar redes con microsegmentación y controles de acceso granulares limita el movimiento lateral.
— Monitorización avanzada y respuesta a incidentes. Soluciones EDR/XDR, correlación de eventos (SIEM) y ejercicios periódicos de Threat Hunting facilitan detectar web shells, patrones anómalos y exfiltración de datos antes de que el daño sea irreversible.
— Gestión de riesgos de terceros y auditoría de proveedores. Dado el papel de las “enabling companies” y otros contratistas, es esencial revisar contratos, accesos y medidas de seguridad de socios tecnológicos, integradores y outsourcers.
— Formación continua del personal. Equipos de IT, seguridad y usuarios finales deben comprender cómo se materializan los ataques modernos, desde phishing dirigido hasta explotación de vulnerabilidades en servicios expuestos a internet.
El proceso contra Xu Zewei, más allá de su desenlace judicial, pone de relieve que el ciberespionaje apoyado por Estados se ha convertido en una amenaza estructural para la academia, la industria y las administraciones públicas. Invertir en ciberresiliencia —no como proyecto puntual, sino como proceso continuo de mejora— es hoy un requisito básico para cualquier organización que no quiera convertirse en la próxima víctima de actores del nivel de Silk Typhoon o Hafnium. Reforzar la protección de los servidores de correo, profesionalizar la gestión de vulnerabilidades y madurar las capacidades de detección y respuesta debe ser una prioridad inmediata en la agenda de ciberseguridad.
