Una apagada digital de diverses hores, sistemes crítics desconnectats i una investigació en marxa han col·locat Itàlia al centre d’una nova crisi de ciberseguretat amb implicacions internacionals, la Xina hi podria estar al darrere.

IBM Italia, concretament la seva filial Sistemi Informativi, ha patit una intrusió que ja ha estat vinculada per diferents fonts d’intel·ligència al grup xinès Salt Typhoon, una de les organitzacions de ciberespionatge més sofisticades del moment.

L’incident ha disparat les alarmes a Europa pel paper estratègic que exerceix la companyia dins de la infraestructura tecnològica italiana i pel possible abast d’una operació que, si es confirma, podria convertir-se en un dels episodis d’espionatge digital més grans contra els serveis públics italians.

Una bretxa que colpeja un proveïdor clau de l’Estat italià

Sistemi Informativi no és una empresa qualsevol dins de l’ecosistema tecnològic italià.

Integrada a IBM Italia, participa en la gestió d’infraestructures informàtiques utilitzades tant per organismes públics com per empreses estratègiques privades.

La interrupció dels sistemes a finals d’abril va provocar preocupació immediata entre les autoritats italianes, especialment pel risc d’exposició de dades delicades i connexions crítiques relacionades amb serveis governamentals i operadors essencials.

La mateixa IBM va confirmar l’incident mitjançant un comunicat oficial en què reconeixia haver detectat i contingut un problema de ciberseguretat.

La multinacional va assegurar que va activar els seus protocols de resposta i que va treballar amb especialistes interns i consultors externs per aïllar l’atac i restaurar els serveis afectats.

Tot i que l’empresa sosté que els sistemes ja operen amb normalitat, va evitar detallar l’abast exacte de la intrusió o si es va produir robatori d’informació. Durant diverses hores, la pàgina web de l’empresa va romandre inaccessible mentre s’executaven les tasques de contenció.

Salt Typhoon, el grup xinès que preocupa Occident

Les primeres investigacions apunten a Salt Typhoon, un grup d’amenaces persistents avançades conegut per les operacions d’espionatge vinculades a interessos estratègics xinesos.

Actiu des d’almenys el 2019, Salt Typhoon ha esdevingut una de les organitzacions més temudes per les agències occidentals d’intel·ligència i les empreses de ciberseguretat.

La seva especialitat no són els atacs massius o el programari de segrest (ransomware) convencional, sinó les infiltracions silencioses i sostingudes en infraestructures crítiques.

A diferència d’altres grups criminals que recorren a la pesca tradicional o campanyes indiscriminades, Salt Typhoon sol explotar vulnerabilitats complexes en proveïdors tecnològics, xarxes de telecomunicacions i cadenes de subministrament digitals.

Els investigadors atribueixen al grup un alt nivell tècnic i una metodologia extremadament precisa.

Les seves operacions es caracteritzen per l’ús de codi maliciós modular personalitzat, moviments laterals discrets dins de les xarxes i llargs períodes de permanència sense ser detectats.

Telecomunicacions, defensa i governs: els objectius habituals

Durant els dos darrers anys, Salt Typhoon ha intensificat considerablement la seva activitat internacional.

El grup ha estat relacionat amb incidents que van afectar companyies de telecomunicacions a Amèrica del Nord i Europa, a més de xarxes vinculades a defensa i administracions públiques.

Entre els atacs atribuïts al grup apareixen empreses del sector satel·litari, operador de telecomunicacions canadenques i sistemes relacionats amb infraestructures governamentals dels Països Baixos i els Estats Units.

En diversos casos, els experts van detectar un patró repetit: primer es compromet un proveïdor tecnològic amb accés privilegiat i després s’utilitza aquesta posició per mapar xarxes, observar comunicacions i recopilar informació delicada durant mesos.

Aquest enfocament converteix integradors tecnològics i empreses de serveis TI en objectius prioritaris per al ciberespionatge modern. Comprometre un sol proveïdor pot obrir la porta a desenes de clients connectats.

Vulnerabilitats a Citrix i Cisco com a porta d’entrada

Les operacions recentment atribuïdes a Salt Typhoon mostren un fort interès per explotar fallades a plataformes àmpliament utilitzades dins de les grans organitzacions.

En campanyes anteriors, el grup va aprofitar vulnerabilitats crítiques en solucions de Citrix i Cisco per infiltrar-se en xarxes europees de telecomunicacions i accedir a sistemes interns d’alt valor estratègic.

Aquest tipus d’atacs permet evitar moltes de les barreres tradicionals de seguretat, ja que els ciberdelinqüents aconsegueixen entrar fent servir programari legítim present a milers d’empreses i administracions públiques.

Els experts consideren especialment preocupant la capacitat del grup per operar durant llargs períodes sense generar alertes visibles.

En lloc de destruir sistemes o xifrar fitxers, Salt Typhoon prioritza l’espionatge silenciós i l’extracció gradual d’informació.

Europa reforça la vigilància sobre el ciberespionatge xinès

L’incident a Itàlia arriba en un moment de tensió digital creixent entre Europa i la Xina. En els darrers mesos, diferents organismes europeus han advertit sobre l’increment de campanyes dirigides contra infraestructures estratègiques, telecomunicacions i proveïdors tecnològics.