Italia extradita a presunto hacker chino a EE.UU.: tormenta geopolítica por espionaje durante la COVID-19

En una escalada dramática de la guerra fría cibernética entre Washington y Pekín, Italia ha extraditado a Estados Unidos al ciudadano chino Xu Zewei. Xu enfrenta una acusación federal por presuntamente liderar una serie de sofisticados ciberataques patrocinados por el Estado, destinados a robar investigaciones patentadas sobre vacunas y tratamientos contra la COVID-19 desarrolladas por empresas farmacéuticas e instituciones académicas estadounidenses. La extradición, finalizada a finales de abril de 2026, marca uno de los casos más significativos de cooperación de una nación europea con Estados Unidos para procesar a un presunto hacker respaldado por un gobierno, y ha desatado de inmediato una ola de protestas diplomáticas por parte de China.

Según la acusación formal, Xu, operando bajo la dirección del Ministerio de Seguridad del Estado (MSS) de China, habría atacado una amplia red de víctimas entre 2020 y 2022. Las víctimas incluían empresas biotecnológicas líderes, hospitales de investigación y universidades involucradas en la carrera por desarrollar una vacuna contra el SARS-CoV-2. La acusación detalla una campaña de 'amenaza persistente avanzada' (APT), utilizando malware personalizado, correos de phishing que explotaban los temores relacionados con la pandemia y exploits de día cero para violar redes corporativas seguras. Una vez dentro, se acusa a Xu y sus co-conspiradores de exfiltrar terabytes de datos sensibles, incluidos resultados de ensayos clínicos, datos de secuenciación genómica y procesos de fabricación patentados.

La sofisticación técnica de la operación fue significativa. Los investigadores de seguridad que han analizado el malware atribuido al grupo de Xu notaron el uso de una infraestructura de comando y control (C2) cifrada, alojada en servidores en la nube comprometidos en múltiples jurisdicciones, lo que dificultó enormemente los esfuerzos de atribución y desmantelamiento. El grupo empleó un kit de herramientas de malware modular que permitía la entrega dinámica de cargas útiles, lo que les permitía adaptar sus ataques en función de las defensas específicas encontradas. Este nivel de seguridad operativa y capacidad técnica es un sello distintivo de los grupos de amenazas persistentes avanzadas patrocinados por el Estado.

El papel de Italia en la extradición es fundamental. Xu fue arrestado en Roma a principios de 2025 después de que se emitiera una Notificación Roja de Interpol a solicitud del Departamento de Justicia de Estados Unidos. El poder judicial italiano, tras una larga batalla legal que llegó a los tribunales más altos del país, dictaminó que la solicitud de extradición de Estados Unidos era válida, rechazando los argumentos de la defensa de Xu de que los cargos tenían motivaciones políticas. El gobierno italiano, bajo presión tanto de Washington como de Pekín, finalmente decidió honrar el tratado bilateral de extradición con Estados Unidos, una decisión que ha tensado sus relaciones diplomáticas con China.

La respuesta de China fue rápida y virulenta. El Ministerio de Relaciones Exteriores chino emitió una condena formal, acusando a Estados Unidos de 'secuestrar' el derecho internacional para sus propios fines geopolíticos y de participar en una 'caza de brujas' contra ciudadanos chinos. Pekín ha negado cualquier participación estatal en los supuestos ataques, presentando a Xu como un 'chivo expiatorio' en una estrategia estadounidense más amplia para contener el ascenso tecnológico de China. El gobierno chino también ha insinuado posibles 'medidas recíprocas' contra Italia, lo que genera temores de represalias económicas o la expulsión de diplomáticos italianos.

El caso tiene profundas implicaciones para la comunidad de ciberseguridad. En primer lugar, refuerza el principio de responsabilidad legal para los hackers patrocinados por el Estado, un concepto que ha sido debatido durante mucho tiempo en foros internacionales. La extradición de un ciudadano extranjero, en lugar de la imposición de sanciones o protestas diplomáticas, indica un cambio hacia una aplicación de la ley más agresiva. En segundo lugar, destaca la vulnerabilidad de la infraestructura crítica de salud durante las crisis globales. La orientación de la investigación sobre la COVID-19 no fue simplemente un acto de espionaje industrial; fue un ataque directo a la seguridad sanitaria pública mundial. En tercer lugar, el caso subraya la creciente disposición de las naciones europeas a actuar como ejecutoras de la política de ciberseguridad de Estados Unidos, lo que podría complicar su propia neutralidad en la guerra tecnológica entre Estados Unidos y China.

Para los profesionales de la seguridad, este incidente sirve como un crudo recordatorio de la amenaza persistente que representan los actores patrocinados por el Estado. Los vectores de ataque utilizados (phishing dirigido, compromisos de la cadena de suministro y explotación de herramientas de acceso remoto) siguen siendo los puntos de entrada más comunes para intrusiones sofisticadas. Las organizaciones involucradas en investigación de doble uso, particularmente en biotecnología, productos farmacéuticos e inteligencia artificial, deben reevaluar sus modelos de amenazas y asumir que son objetivos potenciales. La extradición de Xu Zewei no es un final, sino el comienzo de una fase nueva y más confrontacional en la lucha global contra el cibercrimen patrocinado por el Estado.