La Oficina del Inspector General (OIG) de la Administración Nacional de Aeronáutica y del Espacio (NASA) de Estados Unidos ha revelado cómo un ciudadano chino se hizo pasar por un investigador estadounidense como parte de una campaña de phishing para obtener información sensible de la agencia espacial, así como de entidades gubernamentales, universidades y empresas privadas, en violación de las leyes de control de exportaciones.
«Durante años, los empleados y colaboradores de investigación de la NASA pensaron que simplemente estaban compartiendo software con colegas», dijo la OIG en un comunicado del jueves. «En cambio, estaban enviando por correo electrónico tecnología de defensa sensible a un ciudadano chino que se hacía pasar por ingenieros estadounidenses».
El individuo vinculado a la campaña fue descubierto como el ciudadano chino Song Wu en septiembre de 2024, cuando el Departamento de Justicia de EE. UU. (DoJ) anunció cargos en su contra por orquestar una campaña de varios años que se extendió desde enero de 2017 hasta diciembre de 2021 e implicó atacar a docenas de profesores, investigadores e ingenieros estadounidenses.
Algunas de las víctimas de la campaña trabajaban en la NASA, la Fuerza Aérea, la Armada, el Ejército y la Administración Federal de Aviación, mientras que otras trabajaban en importantes universidades y empresas del sector privado.
Según la acusación de 2024, Song era ingeniero en la Aviation Industry Corporation of China (AVIC), un conglomerado aeroespacial y de defensa estatal chino fundado en 2008. En un intento de obtener software de modelado utilizado para el diseño aeroespacial y el desarrollo de armas, se alega que Song y sus cómplices llevaron a cabo una extensa investigación sobre sus objetivos haciéndose pasar por amigos y colegas para obtener acceso a software propietario y código fuente.
La OIG dijo que el plan tuvo éxito en un puñado de casos en los que las víctimas compartieron información confidencial con las cuentas falsas administradas por Song et al sin darse cuenta de que estaban violando las leyes de control de exportaciones de Estados Unidos.
Song ha sido acusado formalmente de fraude electrónico y 14 cargos de robo de identidad agravado, y enfrenta una sentencia máxima de 20 años de prisión por cada cargo de fraude electrónico. También enfrenta una sentencia de dos años consecutivos si es declarado culpable de robo de identidad agravado. El hombre de 40 años sigue prófugo.
Al agregar a Song a la lista de los más buscados de Estados Unidos, la Oficina Federal de Investigaciones (FBI) de Estados Unidos dijo que el software especializado podría usarse para aplicaciones industriales y militares, incluido el desarrollo de misiles tácticos avanzados y el diseño y evaluación aerodinámicos de armas.
«A medida que las campañas de phishing continúan volviéndose más sofisticadas, hay pistas comunes que pueden traicionar a los estafadores y exponer sus esquemas de fraude a las exportaciones», dijo la OIG. «En el caso de Song, realizó múltiples solicitudes para el mismo software y no justificó por qué lo necesitaba».
«Los estafadores de control de exportaciones también suelen sugerir métodos de pago inusuales (como transferencias electrónicas sospechosas); cambiar abruptamente los términos o la fuente de pago; y utilizar métodos de transferencia no convencionales para enmascarar su identidad y evadir las restricciones de envío».