El Inspector General de NASA (Office of Inspector General, OIG) ha revelado los detalles de una compleja campaña de spear phishing que se extendió durante años y que permitió a un ciudadano chino obtener acceso no autorizado a software de modelado aeroespacial y código fuente sensible. Haciéndose pasar por investigadores estadounidenses, el atacante consiguió el intercambio de herramientas críticas para el diseño de aeronaves y sistemas de armas, vulnerando la normativa de control de exportaciones de Estados Unidos.
Spear phishing contra NASA y el Pentágono: cómo funcionó la operación
Según el OIG de NASA, numerosos empleados de la agencia y de organizaciones asociadas creyeron estar compartiendo software especializado con ingenieros y científicos estadounidenses. En realidad, respondían a correos cuidadosamente elaborados por un ciudadano chino que suplantaba la identidad de académicos e investigadores de Estados Unidos, aprovechando la confianza habitual en las colaboraciones científicas.
El Departamento de Justicia de EE. UU. presentó en septiembre de 2024 cargos formales contra el presunto responsable, identificado como Song Wu. La acusación sostiene que, entre enero de 2017 y diciembre de 2021, Wu dirigió una operación prolongada de ciberespionaje dirigida contra decenas de profesores, investigadores y ingenieros en Estados Unidos.
Las víctimas incluían personal de NASA, Fuerza Aérea, Marina, Ejército de Tierra, la Administración Federal de Aviación (FAA), así como universidades de primer nivel y empresas privadas de alta tecnología. El objetivo principal eran aplicaciones de simulación y modelado para diseño aeroespacial y cálculo de prestaciones de armamento, herramientas consideradas de doble uso por su potencial tanto civil como militar.
De acuerdo con la acusación, Wu trabajaba como ingeniero en la estatal china Aviation Industry Corporation of China (AVIC), un importante conglomerado aeroespacial y de defensa. Antes de contactar a las víctimas, él y sus colaboradores realizaban una fase de reconocimiento exhaustiva: analizaban publicaciones científicas, perfiles profesionales y redes de contactos para imitar con precisión el lenguaje técnico, los temas de investigación y los patrones habituales de colaboración. Este nivel de personalización es característico del spear phishing y lo diferencia del phishing masivo, significativamente más burdo.
Violación del control de exportaciones y consecuencias penales
El OIG de NASA confirma que la campaña tuvo éxito en varios casos: algunos científicos e ingenieros llegaron a entregar software propietario y código fuente sujeto a control de exportaciones a direcciones controladas por los atacantes. Muchos no eran conscientes de que, al compartir estas herramientas con lo que creían colegas nacionales, podían estar vulnerando las estrictas leyes estadounidenses que regulan la transferencia de tecnologías sensibles a personas extranjeras.
Song Wu está acusado de un cargo de wire fraud (fraude electrónico) y de 14 cargos de robo de identidad agravado, por utilizar la identidad de ingenieros y científicos estadounidenses para legitimar las peticiones de acceso. Cada cargo de wire fraud puede acarrear hasta 20 años de prisión, mientras que el robo de identidad agravado conlleva penas adicionales obligatorias. Según las autoridades, el sospechoso, de 40 años, sigue en paradero desconocido y ha sido incluido por el FBI en su lista de los más buscados.
El FBI advierte de que el software aeroespacial sustraído puede emplearse no solo en proyectos civiles, sino también para desarrollar misiles tácticos de alta precisión y optimizar la aerodinámica de sistemas de armas. Este caso ilustra cómo el ciberespionaje moderno combina técnicas avanzadas de ingeniería social con el aprovechamiento de vacíos en los procesos de seguridad y cumplimiento normativo.
Señales de spear phishing y fraude en control de exportaciones
Patrones sospechosos en solicitudes de software y datos sensibles
Incluso en campañas sofisticadas, suelen existir indicadores que permiten detectar comportamientos anómalos. En el incidente investigado por NASA OIG se observaron, entre otros, los siguientes patrones:
Repetición inusual de solicitudes del mismo software, a veces desde distintas cuentas de correo o supuestamente por la misma persona, sin una justificación técnica sólida para requerir nuevos envíos o licencias adicionales.
Métodos de pago atípicos o poco transparentes: propuestas de transferencias desde cuentas desconocidas, repentina sustitución del pagador, uso de intermediarios o empresas pantalla para adquirir licencias o servicios de soporte.
Canales no estándar para la entrega de software o licencias, como la insistencia en usar correos personales, servicios en la nube no corporativos o enlaces de descarga temporales que eluden los procedimientos oficiales de la organización.
Medidas de ciberseguridad para proyectos científicos y de defensa
Procesos formales y control de exportaciones integrados en TI
El caso demuestra que incluso equipos altamente cualificados son vulnerables si la seguridad de la información y el control de exportaciones no están integrados en los procesos cotidianos. Es esencial formalizar la transferencia de software y código fuente: emplear únicamente canales aprobados, registrar destinatario, finalidad y base legal, y requerir la validación de responsables de seguridad y cumplimiento antes de compartir herramientas sensibles. La integración de soluciones DLP y la comprobación automática de destinatarios frente a listas de sanciones y socios autorizados reduce sustancialmente el riesgo.
Verificación de identidad y formación en ingeniería social
La identidad del solicitante debe verificarse siempre por canales independientes: directorios oficiales de la organización, teléfonos corporativos, videoconferencias o sistemas internos de gestión de colaboradores. No basta con confiar en el remitente del correo electrónico. Informes como el Verizon DBIR han mostrado que la mayoría de las brechas de seguridad involucran al factor humano, y el spear phishing es uno de los vectores más eficaces. Por ello, resulta crítico impartir formación periódica en detección de ataques dirigidos, protección de datos sensibles y normativa de exportación, especialmente en comunidades académicas y de I+D.
Gestión de acceso y monitorización continua
La aplicación estricta del principio de mínimo privilegio limita el impacto de cualquier compromiso: solo deben tener acceso al software crítico quienes lo necesiten para su función, con autenticación multifactor y registro detallado de actividades. La monitorización continua de descargas, transferencias y patrones de uso puede ayudar a identificar anomalías tempranas y activar respuestas rápidas ante posibles incidentes de ciberespionaje.
El caso de spear phishing contra NASA y otras entidades de defensa evidencia que los ataques dirigidos a investigadores, ingenieros y universidades se han convertido en una herramienta central del ciberespionaje estatal e industrial. Cualquier organización que trabaje con tecnologías avanzadas debe tratar cada solicitud externa de acceso a software de simulación, código fuente o datos de ensayos como un posible riesgo, reforzando no solo sus infraestructuras técnicas, sino también sus procesos y la cultura de seguridad de su personal. Invertir hoy en formación, procedimientos y controles de exportación bien diseñados hará mucho más difícil que los atacantes repitan el éxito de campañas como la de Song Wu.
