Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Google refuerza la ciberseguridad global tras desmantelar una extensa red de espionaje digital

Fecha de publicación 19/03/2026

El 25 de febrero de 2026, la compañía Google hizo público el desmantelamiento de una extensa operación de ciberespionaje atribuida a actores vinculados a China, la cual habría estado activa durante casi una década, desde al menos 2017. La información fue difundida inicialmente a través de su equipo de inteligencia de amenazas, el Google Threat Intelligence Group, y posteriormente recogida por diversos medios internacionales. El hecho de que para realizar actividades encubiertas y maliciosas se emplearan herramientas auténticas de la compañía como Google Sheets, fue lo que atrajo particularmente la atención de la noticia. La operación fue reconocida como una de las más extensas en cuanto a su alcance geográfico y duración en los últimos años, impactando a diversos sectores clave. 

Google detectó y desarticuló una red de ciberespionaje que había comprometido al menos 53 organizaciones en 42 países, incluyendo entidades gubernamentales y compañías de telecomunicaciones. El grupo responsable, identificado como UNC2814, utilizaba un malware conocido como GRIDTIDE que se comunicaba con sus operadores mediante documentos de Google Sheets, aprovechando sus funcionalidades como canal de mando y control para evitar ser detectado. Esta técnica permitía a los atacantes ocultar sus actividades dentro del tráfico legítimo de servicios en la nube. Como respuesta, Google procedió a eliminar la infraestructura utilizada por los atacantes, cerrar cuentas implicadas y reforzar sus sistemas de detección, además de colaborar con organizaciones afectadas para mitigar los daños.

La operación ha sido neutralizada en gran medida gracias a las acciones de Google, aunque el incidente pone de relieve la sofisticación y persistencia de este tipo de amenazas. Si bien no se han reportado nuevas actividades relacionadas directamente con esta campaña tras su desmantelamiento, expertos en ciberseguridad advierten que los actores responsables podrían adaptar sus métodos y reaparecer utilizando otras plataformas o técnicas similares.

Referencias
Etiquetas