Presuntos piratas informáticos chinos manipularon un software muy utilizado distribuido por una pequeña empresa canadiense de servicio al cliente, otro ejemplo de compromiso de la cadena de suministro que se hizo tristemente célebre por el hackeo a la empresa estadounidense de redes SolarWinds.

La empresa estadounidense de ciberseguridad CrowdStrike dirá en una próxima publicación en su blog, vista por Reuters, que había descubierto un software malicioso distribuido por Comm100, con sede en Vancouver, que proporciona productos de servicio al cliente, como bots de chat y herramientas de gestión de redes sociales, a una serie de clientes de todo el mundo.

El alcance y la escala del hackeo no estaban inmediatamente claros. En un mensaje, Comm100 dijo que había arreglado su software a primera hora del jueves y que pronto se darían más detalles. La empresa no respondió inmediatamente a las solicitudes de información de seguimiento.

Los investigadores de CrowdStrike creen que el software malicioso estuvo en circulación durante un par de días, pero no quisieron decir cuántas empresas se habían visto afectadas, divulgando únicamente que entidades de toda una serie de industrias fueron afectadas.

Comm100 en su página web dijo que tenía más de 15.000 clientes en unos 80 países.

El ejecutivo de CrowdStrike, Adam Meyers, dijo en una entrevista telefónica que se sospechaba que los piratas informáticos implicados eran chinos, citando los patrones de comportamiento de los piratas, el lenguaje en el código y el hecho de que una de las víctimas del hackeo había sido repetidamente objetivo de piratas informáticos chinos en el pasado.

La embajada china en Washington no devolvió inmediatamente los mensajes en busca de comentarios. Pekín niega regularmente tales acusaciones.

Los compromisos de la cadena de suministro, que funcionan manipulando una pieza de software ampliamente utilizada para hackear a sus usuarios en sentido descendente, han sido motivo de creciente preocupación desde que presuntos piratas informáticos rusos irrumpieron en la empresa de gestión de TI de Texas SolarWinds Corp y la utilizaron como trampolín para hackear a las agencias gubernamentales estadounidenses y a una serie de empresas privadas.

Meyers, cuya empresa estuvo entre las que respondieron al hackeo de SolarWinds, dijo que el hallazgo de Comm100 era un recordatorio de que otras naciones utilizaban las mismas técnicas.

China está participando en ataques a la cadena de suministro, dijo. (Reportaje de Raphael Satter y Christopher Bing; Edición de Chris Sanders y Jonathan Oatis)