La Oficina del Inspector General (OIG) de la Administración Nacional de
Aeronáutica y del Espacio de Estados Unidos (NASA) reveló cómo
un ciudadano chino se hizo pasar por un investigador estadounidense como
parte de una campaña de spear-phishing
para obtener información confidencial de la agencia espacial, así como de
entidades gubernamentales, universidades y empresas privadas, en violación de
las leyes de control de exportaciones.
«Durante años, los empleados de la NASA y los colaboradores de
investigación creyeron que simplemente compartían software con sus
colegas»,
declaró la OIG en un comunicado.
«En realidad, estaban enviando por correo electrónico tecnología de defensa
confidencial a un ciudadano chino que se hacía pasar por ingenieros
estadounidenses».
El individuo vinculado a la campaña fue identificado como el ciudadano chino
Song Wu en septiembre de 2024, cuando el Departamento de Justicia de Estados
Unidos (DoJ)
anunció cargos en su contra
por orquestar un esquema de phishing que duró varios años, desde enero de 2017
hasta diciembre de 2021, y que tuvo como objetivo a decenas de profesores,
investigadores e ingenieros estadounidenses.
Algunas de las víctimas de la campaña trabajaban en la NASA, la Fuerza Aérea,
la Armada, el Ejército y la Administración Federal de Aviación, mientras que
otras lo hacían en importantes universidades y empresas del sector privado.
Según la acusación formal de 2024, Song era ingeniero en la Corporación de la
Industria de Aviación de China (AVIC), un conglomerado estatal chino de
defensa y aeroespacial fundado en 2008. En un intento por obtener software de
modelado utilizado para el diseño aeroespacial y el desarrollo de armamento,
Song y sus cómplices presuntamente llevaron a cabo una extensa investigación
sobre sus objetivos, haciéndose pasar por amigos y colegas para acceder a
software y código fuente de propiedad exclusiva.
La Oficina del Inspector General (OIG) indicó que el plan tuvo éxito en
algunos casos, donde las víctimas compartieron información confidencial con
las cuentas falsas gestionadas por Song y sus cómplices sin darse cuenta de
que estaban infringiendo las leyes estadounidenses de control de
exportaciones.
Song ha sido acusado de fraude electrónico y 14 cargos de robo de identidad
agravado, y se enfrenta a una pena máxima de 20 años de prisión por cada cargo
de fraude electrónico. También se enfrenta a una condena consecutiva de dos
años si es declarado culpable de robo de identidad agravado. El hombre de 40
años sigue prófugo.
Al incluir a Song en la lista de los más buscados de Estados Unidos, el Buró
Federal de Investigaciones (FBI) indicó que el software especializado podría
utilizarse para aplicaciones industriales y militares, incluyendo el
desarrollo de misiles tácticos avanzados y el diseño y evaluación aerodinámica
de armas.
«A medida que las campañas de phishing se vuelven más sofisticadas, existen
pistas comunes que pueden delatar a los estafadores y exponer sus esquemas
de fraude a la exportación. En el caso de Song, solicitó el mismo software
en varias ocasiones sin justificar su necesidad».
Los estafadores que manipulan el control de exportaciones también suelen
sugerir métodos de pago inusuales (como transferencias bancarias sospechosas);
cambian abruptamente las condiciones o la fuente de pago; y utilizan métodos
de transferencia poco convencionales para ocultar su identidad y eludir las
restricciones de envío.
Fuente:
THN