Ciberseguridad en China: No hay lugar donde esconderse

Contenido de este artículo:

I. Ciberseguridad con características chinas: El Partido lo dirige todo.

Bajo la dirección del Partido Comunista Chino (PCC), el gobierno chino está trabajando para crear un sistema de ciberseguridad con características chinas. Este sistema está diseñado para que toda la información en red que cruza la frontera china sea a) transparente para el gobierno chino y b) cerrada al acceso no autorizado de piratas informáticos extranjeros y nacionales y gobiernos no afiliados al PCCh.

El objetivo principal es utilizar este sistema para la vigilancia y el control. Vigilancia significa adquisición de información. En consecuencia, la transparencia del sistema significa que toda la información que cruza la frontera china debe estar a disposición del PCCh y sus agentes. No hay secretos para el Partido. Como resultado, desde el punto de vista de un individuo o una entidad empresarial, ya sea nacional o extranjera, este sistema es un sistema de ciberseguridad. A medida que el sistema se vaya implantando con un refinamiento y un alcance progresivamente mayores, no habrá lugar donde esconderse de los ojos del Partido.

Todas las entidades extranjeras que operan en China están sujetas a este sistema de ciberseguridad. Dado que los sistemas de red y comunicación son fundamentales para el trabajo de toda empresa moderna, es esencial comprender cómo funciona el sistema chino. El impacto no se limita a las entidades extranjeras que establecen empresas con inversión extranjera en China. También se aplica a cualquier persona que transmita información, personal o técnica, a China a través de cualquier red. También se aplica a cualquier persona que transmita información a cualquier país en el que se haya implantado el sistema de autoritarismo digital chino a través del proyecto de la Ruta de la Seda Digital. También se aplica a cualquier persona que transmita información a cualquier país o región (Hong Kong/Taiwán) que se haya convertido en objetivo de operaciones de recopilación de datos basadas en China.

Para comprender las bases de este sistema, hay que entender ciertas características del actual sistema de gobierno chino. En primer lugar, debemos comprender el papel del PCCh. Hay dos características clave:

Uno, el PCCh ha sido reconocido como el "líder en todo". Con Deng, Jiang y Hu, el objetivo era retirar al Partido del papel de liderazgo dominante para liberar el poder económico y creativo del pueblo y de las instituciones no partidistas. Este plan funcionó tan bien que muchos en China empezaron a cuestionar el papel del Partido.

El principal objetivo de la administración de Xi Jinping ha sido invertir esta tendencia. Gracias a los esfuerzos del presidente Xi, el PCCh es ahora el líder en todo. No hay límites a su papel en la dirección de todos los aspectos de China. En consecuencia, en 2018 se revisó la constitución del PCCh para que dijera:

El liderazgo del PCCh es la característica principal del socialismo con características chinas. El Partido, el gobierno, el ejército, la sociedad civil y la educación, el norte, el sur, el este, el oeste y el centro, el Partido es el líder en todo.

中国共产党的领导是中国特色社会主义最本质的特征,是中国特色社会主义制度的最大优势。党政军民学,东西南北中,党是领导一切的。

Esta declaración es un rechazo a la política de Deng, Jiang y Hu. Se remonta a la posición de Mao Zedong declarada en 1962. 1962年1月30日,中国共产党中央委员会主席毛泽东在扩大的中央工作会议.

Aunque el PCCh es el líder en todo, el objetivo principal del Partido es liderar el desarrollo económico. Como se afirma en el Preámbulo de la Constitución del PCCh:

En la dirección de la causa del socialismo, el Partido Comunista de China debe mantener su compromiso con el desarrollo económico como tarea central, y todas las demás labores deben asumir un papel auxiliar y servir a este centro. El Partido pondrá en práctica la estrategia para vigorizar a China a través de la ciencia y la educación, la estrategia para desarrollar una fuerza de trabajo de calidad, la estrategia de desarrollo impulsado por la innovación, la estrategia de vitalización rural, la estrategia de desarrollo regional coordinado, la estrategia de desarrollo sostenible y la estrategia de integración militar-civil. Deberá dar pleno juego al papel de la ciencia y la tecnología como fuerzas productivas primarias y al papel de la innovación como fuerza primaria impulsora del desarrollo, aprovechar los avances de la ciencia y la tecnología, mejorar la calidad de la mano de obra del país y garantizar un desarrollo de la economía de mayor calidad y más eficiente, equitativo y sostenible.

En consonancia con este amplio papel, el PCCh también ha ampliado enormemente el concepto de seguridad nacional. Bajo el Concepto Integral de Seguridad Nacional de Xi Jinping (总体国家安全观), se transforma el tradicional enfoque militar y de protección de fronteras de la seguridad nacional. Bajo el nuevo concepto de seguridad, dos características son críticas. En primer lugar, el objetivo primordial es preservar el poder absoluto del PCCh como gobernante de China. En segundo lugar, la atención se centra en las amenazas al poder del PCCh:

- Incapacidad de la RPC para convertirse rápidamente en un país de alta tecnología.
- Incapacidad del Partido para controlar la ideología y la información.

Las preocupaciones en materia de ciberseguridad de los particulares y las entidades comerciales no entran en el análisis. Es el Partido el que debe ser protegido, no el público. En particular, no es posible que ningún miembro del público esté en conflicto con la Parte. Cualquier conflicto de este tipo es anti-Partido y, por tanto, anti-China. Esta cuestión no se aborda en modo alguno. Todo esto se explica detalladamente en la colección estándar de discursos y escritos de Xi Jinping sobre el concepto integral de seguridad nacional: 习近平关于总体国家安全观论述摘编,2018. Se puede encontrar un buen resumen en inglés en Matthew D. Johnson, Safeguarding Socialism: Los orígenes, evolución y expansión del paradigma de seguridad total de China,

Para ser el líder en todo, el Partido tiene que saberlo todo. En el ámbito cibernético, el PCCh y sus organismos han respondido a esta necesidad de saber de dos maneras:

A nivel nacional, el PCCh ha adoptado la tecnología digital para crear un Estado de vigilancia dentro de China. Mediante el reconocimiento facial, el control de Internet, la telefonía móvil, WeChat y otras fuentes de información supervisadas y controladas a través de la IA y los macrodatos, la RPC ha creado un sistema de vigilancia y control que se ha denominado autoritarismo digital. Véase U.S. Senate Committee on Foreign Relations, The New Big Brother: China and Digital Authoritarianism.

A nivel internacional, el Partido y sus agentes, el Ministerio de Seguridad del Estado (MSS) y el Ministerio de Seguridad Pública (MPS), se han convertido en los principales piratas cibernéticos de tecnología y secretos comerciales. El papel del MSS en el pirateo cibernético está bien documentado. Las recientes acusaciones penales y las respuestas de los gobiernos estadounidenses y extranjeros pueden consultarse aquí en el caso de Estados Unidos y aquí en el del Reino Unido.

¿Qué es entonces el PCC?

1. El PCCh es el director general de las empresas estatales y privadas chinas que compiten directamente con entidades extranjeras.

2. El CCP es el director de los centros de investigación encargados de desarrollar tecnología por el programa Made in China 2025 y otros proyectos de desarrollo de alta tecnología de alta velocidad.

3. El PCCh es el comandante en jefe del ejército chino, un ejército con el que las personas extranjeras tienen prohibido tratar. En virtud de la doctrina de fusión civil/militar, los militares tienen acceso a toda la información y tecnología obtenida por el PCCh.

4. El PCCh es el gestor del sistema mundial de piratería cibernética dirigido por el MSS y el Ejército Popular de Liberación (EPL), junto con el sistema nacional de piratería cibernética dirigido por el MPS.

El Partido tiene todo el control de este sistema. El Partido lo dirige todo: el norte, el sur, el este, el oeste y el centro. Cualquier intento de derrotar a este sistema está condenado al fracaso. Todas las redes y datos digitales dentro de la frontera china serán transparentes para el PCCh sin excepciones. No hay lugar donde esconderse.

¿Cómo funciona? Lo veremos a continuación.

II. Programa integral de seguridad de las redes de China

El gobierno chino lleva varios años trabajando en un programa integral de seguridad/vigilancia de Internet. Este programa se basa en la Ley de Ciberseguridad adoptada en 2016. El plan es vasto e incluye una serie de leyes y reglamentos subsidiarios. El 1 de diciembre de 2018, el Ministerio de Seguridad Pública chino anunció que finalmente pondrá en marcha el plan completo.

El núcleo del plan consiste en que el Ministerio de Seguridad chino tenga pleno acceso a las ingentes cantidades de datos brutos transmitidos a través de las redes chinas y alojados en servidores de China. Como los datos brutos tienen poco valor, la clave del éxito del Ministerio estará en procesarlos. Viendo que esta es la cuestión clave, el Ministerio ha nombrado a Wang Yingwei nuevo jefe de la Oficina de Ciberseguridad. Wang es un reputado experto en "big data" y se encargará de dar sentido a los datos brutos recogidos en el nuevo sistema.

El plan para el nuevo sistema es ambicioso y exhaustivo. Como explicó Guo Qiquan, el principal animador del plan, el principal objetivo del nuevo sistema es proporcionar una "cobertura total". "Abarcará todos los distritos, todos los ministerios, todas las empresas y otras instituciones, cubriendo básicamente a toda la sociedad. También cubrirá todos los objetivos que necesiten protección [de ciberseguridad], incluidas todas las redes, sistemas de información, plataformas en la nube, internet de las cosas, sistemas de control, big data e internet móvil."

Este sistema se aplicará a las empresas de propiedad extranjera en China en las mismas condiciones que a todas las personas, entidades o individuos chinos. Ninguna información contenida en un servidor situado en China quedará exenta de este programa de cobertura total. Ninguna comunicación desde o hacia China estará exenta. No habrá secretos. No habrá VPN. Ni mensajes privados o cifrados. Ni cuentas anónimas en línea. No habrá secretos comerciales. Ni datos confidenciales. Todos y cada uno de los datos estarán disponibles y abiertos al gobierno chino. Dado que el gobierno chino es el accionista de todas las empresas estatales y ahora también ejerce un control de facto sobre las principales empresas privadas de China, toda esta información estará disponible para esas empresas estatales y empresas chinas. Véase, por ejemplo,China colocará a funcionarios del Gobierno dentro de 100 empresas privadas, incluida Alibaba. Toda esta información estará disponible para el ejército chino y los institutos de investigación militar. Los chinos tienen muy claro que este es su plan.

En el pasado, las empresas de propiedad extranjera en China podían evitar generalmente el impacto de este tipo de sistema de dos maneras. Lo hacían principalmente estableciendo servidores de Internet VPN en sus propias oficinas. Estos servidores utilizaban tecnologías VPN para aislar los datos de las redes controladas por China, lo que permitía que la intranet de la empresa mantuviera el secreto de los correos electrónicos y los datos almacenados en los servidores de la empresa en China. A medida que ha avanzado la computación en nube, las empresas de propiedad extranjera suelen utilizar las mismas tecnologías VPN para aislar sus servidores basados en la nube del sistema controlado por China. Aunque las autoridades chinas se quejaban a menudo de estos sistemas VPN, las empresas extranjeras solían alegar que su condición especial de WFOE las eximía de los controles de datos chinos.

Sin embargo, con la puesta en marcha del nuevo sistema, todo eso cambiará. En primer lugar, la Ley de Ciberseguridad y las leyes y reglamentos conexos dejan claro que se aplican a todas las personas y entidades de China , independientemente de su titularidad o nacionalidad. No hay excepciones. Más importante aún, la nueva Ley de Inversión Extranjera que entró en vigor el 1 de enero de 2020 elimina cualquier estatus especial asociado con ser una WFOE u otra empresa de inversión extranjera. Las empresas de propiedad extranjera recibirán exactamente el mismo trato que las empresas de propiedad china. Ver China's New Foreign Investment Law Benefits: Like Putting Lipstick on a Pig. Esto significa que la Ley de Ciberseguridad se aplicará a las empresas de propiedad extranjera (WFOE, empresas conjuntas y oficinas de representación) exactamente igual que a las empresas y particulares de propiedad china. Las empresas extranjeras no podrán esconderse.

Esto significa que el uso de sistemas VPN intraempresariales ya no estará autorizado en China para nadie, incluidas las empresas extranjeras. Esto significa, a su vez, que todo el correo electrónico y las transferencias de datos de las empresas deberán utilizar sistemas de comunicación operados en China y totalmente abiertos a la Oficina de Ciberseguridad de China. Todos los servidores de datos que utilicen redes de comunicación chinas también deberán estar abiertos al sistema de vigilancia y control de la Oficina de Ciberseguridad.

Es importante entender bien lo que esto significa. En virtud de la Ley de Ciberseguridad, el gobierno chino tiene derecho a obtener de cualquier persona o entidad en China cualquier información que el gobierno chino considere que tiene algún impacto en la seguridad china. El gobierno chino es consciente de que las empresas y particulares extranjeros se mostrarán reacios a entregar su información al gobierno chino cuando éste se lo pida. Por ese motivo, la Oficina de Ciberseguridad china no tiene previsto solicitar amablemente la información. La premisa fundamental de los nuevos sistemas de ciberseguridad es que el gobierno utilizará su control de las comunicaciones para simplemente tomar la información sin discutir el asunto con el usuario. Todos los datos estarán a disposición del gobierno chino.

Este sistema de acceso constante y omnipresente a los datos y de vigilancia de los mismos plantea un conflicto fundamental para las empresas estadounidenses y muchas extranjeras que operan en China, ya que la legislación estadounidense exige en muchos casos mantener en secreto gran parte de la información. Pero la legislación china exige ahora el acceso total del gobierno a esos secretos si éstos cruzan la frontera china por cualquier motivo. Este conflicto pone a muchas empresas estadounidenses y extranjeras en un aprieto legal imposible. Incluyo a las empresas extranjeras porque las empresas extranjeras con filiales estadounidenses o incluso ciertos tipos de relaciones con empresas estadounidenses también se verán obligadas o al menos afectadas por estas leyes de confidencialidad estadounidenses.

En primer lugar, a medida que empieza a ampliarse el ámbito de lo que el gobierno estadounidense designa como información y tecnología controladas, aumentan las restricciones sobre lo que no puede transmitirse a través de la frontera china. Véase esta entrada sobre lo que probablemente constituirá una "tecnología emergente" restringida con arreglo a la legislación estadounidense. Las empresas estadounidenses solían adoptar la postura de que su información en China está en un servidor privado aislado del gobierno chino y si éste la solicita, "nos negaremos a cumplir". Este argumento ya no funcionará porque el gobierno chino ya no pedirá la información; simplemente la tomará.

En segundo lugar, gran parte de la propiedad intelectual está protegida como secreto comercial y no porque esté registrada como patente. De hecho, el valor de muchas patentes estadounidenses reside en que respaldan conocimientos técnicos de secreto comercial. Los secretos comerciales son una forma de propiedad protegida por la legislación estadounidense. Sin embargo, la regla general para poder mantener algo como secreto comercial (en virtud de la legislación estadounidense, china y de la UE) es que el poseedor del secreto comercial debe tomar medidas razonables para mantener su secreto. Una vez que un secreto comercial ha sido revelado de forma intencionada o irrazonable por su poseedor, su protección como secreto comercial queda anulada. Esto da lugar al conflicto.

En la práctica, con el nuevo sistema chino, los secretos comerciales ocultos al PCCh ya no existirán. Esto significa que las empresas estadounidenses y de la UE que operan en China tendrán que asumir que cualquier "secreto" que traten de mantener en un servidor o red en China estará automáticamente a disposición del gobierno chino y, a continuación, de todos sus competidores controlados por el gobierno chino en China, incluidos los militares chinos. Esto incluye llamadas telefónicas, correos electrónicos, mensajes de WeChat y cualquier otra forma de comunicación electrónica. Dado que ninguna empresa puede asumir razonablemente que sus secretos comerciales seguirán siendo secretos una vez transmitidos a China a través de una red controlada por China, corren un gran riesgo de que sus protecciones de secretos comerciales fuera de China también se evaporen.

La empresa estadounidense o de la UE puede tener un acuerdo ejecutable con el destinatario chino de su información confidencial que proteja esa información con respecto a ese destinatario autorizado. Pero si el secreto está fácilmente a disposición del gobierno chino, no existe una verdadera protección del secreto comercial.

Al dar al gobierno chino y a sus compinches pleno acceso a sus datos, es muy posible que se considere que la empresa estadounidense o de la UE ha exportado ilegalmente tecnología a China, y podría enfrentarse a multas millonarias e incluso a penas de cárcel para algunos de sus directivos y consejeros. Existe un conflicto inherente entre las leyes extranjeras que obligan a una empresa a no transferir su tecnología a China y las leyes chinas que, de hecho, obligan a dicha transferencia.

III. El sistema regulador chino: El Sistema de Protección Multinivel (MLPS 2.0)

Un concepto central en el sistema de control del PCCh es que China debe regirse por la ley. La ley es la expresión de la voluntad del Partido. Esa expresión de voluntad debe ser clara e inflexible. En consonancia con esa política básica, el sistema de ciberseguridad que se desarrollará durante la próxima década está documentado en detalle como el Esquema de Protección Multinivel de Ciberseguridad ("MLPS 2.0"), que entrará en vigor el 1 de diciembre de 2019. Este esquema establece los controles técnicos y organizativos que todas las empresas e individuos en China deben seguir para cumplir con las obligaciones de seguridad de Internet relacionadas con MLPS ordenadas por la Ley de Ciberseguridad de China. Todas las empresas y particulares deben cumplir las tres normas siguientes:

1. GB/T 22239 - 2019 Tecnología de seguridad de la información - Base de referencia para el esquema de protección multinivel.

2. GB/T 25070 - 2019 Tecnología de seguridad de la información - Requisitos técnicos del diseño de seguridad para el esquema de protección multinivel.

3. GB/T 28448 - 2019 Tecnología de seguridad de la información - Requisitos de evaluación para el esquema de protección multinivel.

Las versiones en chino de estas normas pueden consultarse aquí; no conozco ninguna traducción al inglés de las mismas.

Mi archivo personal sobre las leyes y reglamentos relativos al sistema MLPS 2.0 consta de más de 800 páginas de chino muy técnico. Pero ni siquiera esta vasta documentación es suficiente para comprender plenamente el funcionamiento del sistema. Para comprenderlo plenamente, también hay que tener en cuenta los objetivos de otros documentos clave de planificación del gobierno chino, como el programa nacional de inteligencia artificial, el programa Internet+, el sistema de crédito social para particulares y empresas (Véase El nuevo sistema de seguimiento de empresas de China: cumplir, cumplir, cumplir), y varios otros programas de red/Internet/recopilación de datos y vigilancia que se están aplicando en China.

Cuando se examinan estos diferentes programas en conjunto, resulta evidente que el sistema MLPS 2.0 es el componente "hardware" de un programa integral de recopilación de datos, vigilancia y control. El plan de China es crear un sistema que abarque todas las formas de actividad en red en China: Internet, telefonía móvil, redes sociales tipo WeChat, sistemas en la nube, correo electrónico nacional e internacional. El objetivo de China no es crear un sistema comercial en el que los actores individuales puedan participar y ganar dinero. Sus objetivos son la vigilancia y el control por parte del gobierno de la RPC y el PCCh.

Para lograr estos objetivos, China está creando un sistema que persigue dos objetivos en última instancia contradictorios: el sistema estará cerrado contra la intrusión de "malos actores" (extranjeros y disidentes internos), pero será completamente transparente para el Ministerio de Seguridad Pública y otros organismos de seguridad en Internet del gobierno de la RPC y el PCCh. Transparencia para el Ministerio de Seguridad Pública significa lo que dice: No se permite ninguna tecnología que bloquee el acceso del Ministerio de Seguridad Pública. Ni VPN, ni cifrado, ni servidores privados. Si el Ministerio de Seguridad Pública se ve obligado a instalar puertas traseras u otros dispositivos o sistemas de interceptación de mensajes/datos para lograr un acceso total, entonces China Telecom y los ISP con sede en China estánobligados a cumplir. Pero como proporcionar acceso abierto al Ministerio de Seguridad Pública entra en conflicto directo con el objetivo de una seguridad reforzada contra la intrusión, la forma de mediar entre estos objetivos contrapuestos es la razón principal de la extensión y complejidad de las normas MLPS 2.0.

La base jurídica que permite al Ministerio de Seguridad Pública de China acceder a redes y datos procede de una normativa no incluida en las normas MLPS 2.0. Como he señalado antes, para comprenderla plenamente es necesario reunir toda la normativa aplicable. Éste es sólo un ejemplo de ello. La normativa escrita que otorga al Ministerio de Seguridad Pública el derecho a "cogerlo" sin más es el Reglamento sobre supervisión e inspección de la seguridad en Internet por los órganos de seguridad pública (公安机关互联网安全监督检查规定). Este reglamento fue promulgado el 15 de septiembre de 2018 y entró en vigor el 1 de noviembre de 2018. Mis referencias a este reglamento a continuación son a los artículos de la versión en idioma chino publicada por el gobierno chino. Es importante basar los comentarios sobre el Reglamento en lo que realmente se adoptó, no a borradores de discusión anteriores que contenían disposiciones que no se adoptaron.

Como cuestión preliminar, una cuestión clave confirmada por el Reglamento sobre Supervisión e Inspección de la Seguridad en Internet por los Órganos de Seguridad Pública es que el Ministerio de Seguridad Pública tiene la autoridad principal para asumir las tareas de aplicación de primera línea relacionadas con Internet y la seguridad de la red en China. Esto significa que MIIT (China Telecom), CAC, CNNIC y la sopa de letras de otros organismos chinos que buscaban un papel en la administración de la ciberseguridad han sido apartados en favor del Ministerio de Seguridad Pública. Esto significa que de la aplicación de la ley se encargará la policía y no los burócratas locales. Esta decisión sobre la aplicación de la ley tiene un significado real para las empresas extranjeras que hacen negocios en China y para sus empleados extranjeros que viven y trabajan allí. Cuando un burócrata chino se presenta en su puerta para pedirle información, tal vez usted pueda enviarle a paseo. Pero cuando dos o más policías uniformados se presentan en su puerta, no tiene más remedio que obedecer.

El Reglamento sobre Supervisión e Inspección de la Seguridad en Internet por los Órganos de Seguridad Pública prevé dos niveles de inspección de los servidores en red: inspección in situ y acceso remoto fuera de línea. Véase el artículo 13. Cuando se realiza una inspección in situ, deben estar presentes un mínimo de dos agentes de la policía local. Véase el artículo 14. Los agentes de policía estarán acompañados por personal de la administración local encargado de la seguridad en Internet. Si el personal de la agencia gubernamental local no es suficiente, el Ministerio de Seguridad Pública puede emplear a contratistas independientes para realizar el trabajo.
El equipo de inspección tiene acceso completo al sistema de la red. La inspección puede abarcar tanto los aspectos técnicos del sistema de red como los datos/información mantenidos en los servidores. Véase el artículo 10.

Los inspectores pueden acceder plenamente al sistema y copiar los datos que encuentren. Véase el artículo 15. La única restricción para que los inspectores copien los datos del sistema de su empresa es que deben entregarle un recibo. Aunque el artículo 10 "restringe" el acceso a asuntos relacionados con la seguridad nacional, la definición de seguridad nacional en China es tan amplia que no hay ninguna limitación real a lo que se puede acceder, copiar y eliminar.

En los casos en que el Ministerio de Seguridad Pública determine que existe un problema de seguridad en Internet, tiene derecho a realizar una inspección de acceso remoto cuyo alcance se establece en el artículo 10. Es necesario notificar previamente el acceso remoto. Hay dos cuestiones relacionadas con dicha notificación: En primer lugar, la finalidad de la notificación no es proteger los derechos de la parte inspeccionada. Más bien, el propósito de la notificación es garantizar que el servidor ha sido completamente abierto al acceso del Ministerio de Seguridad Pública. En segundo lugar, en el caso de los servidores mantenidos por un proveedor de servicios en nube, no está claro si la notificación se dirige únicamente al proveedor de servicios en nube o tanto al proveedor de servicios en nube como a su(s) cliente(s). Por lo tanto, no está claro si el cliente de la nube recibirá alguna vez la notificación de que su servidor y sus datos fueron vistos y copiados por el Ministerio de Seguridad Pública de China. El tiempo lo dirá, pero creo que el cliente de la nube nunca lo sabrá a menos que su proveedor de nube se lo diga, lo que es poco probable.

Esta norma de acceso fuera de las instalaciones es difícil de gestionar. La estructura de las normas MLPS 2.0 sugiere que el Ministerio de Seguridad Pública planea trabajar con los proveedores de la nube y los proveedores de servicios gestionados para conseguir que instalen sistemas que permitan al Ministerio de Seguridad Pública un fácil acceso fuera de las instalaciones en cualquier momento, sin necesidad de pasar por un procedimiento de acceso y notificación previa incidente por incidente. Sin embargo, este tipo de sistema de acceso constante no está contemplado en el Reglamento. Incluso si se sigue estrictamente el Reglamento sobre supervisión e inspección de la seguridad en Internet por los órganos de seguridad pública, no se puede obviar el hecho de que prevé que el Ministerio de Seguridad Pública de China tenga un acceso esencialmente ilimitado a todos los servidores y datos. Referirse a esto como "ciberseguridad" es fundamentalmente engañoso. Como dice el propio Reglamento, se trata de un régimen de inspección y control del Gobierno chino. No tiene nada que ver con la ciberseguridad tal y como se considera normalmente en el mundo de la Internet abierta.

La cuestión clave es entonces qué ocurre con los datos recopilados por el Ministerio de Seguridad Pública chino: los de su empresa, por ejemplo. El Ministerio está autorizado a copiar y eliminar prácticamente cualquier información o dato que encuentre en los servidores que inspecciona. ¿Qué ocurre con la confidencialidad de esa información? El artículo 5 del Reglamento sobre Supervisión e Inspección de la Seguridad en Internet por los Órganos de Seguridad Pública aborda esta cuestión: "La información personal, la intimidad, los secretos comerciales y los secretos de Estado de que tengan conocimiento los órganos de seguridad pública y sus funcionarios en el cumplimiento de las funciones de supervisión e inspección de la seguridad en Internet se mantendrán estrictamente confidenciales y no se divulgarán, venderán ni facilitarán ilegalmente a terceros." Esta disposición debe leerse con atención porque establece una "confidencialidad con características chinas".

El punto clave es que el término "otros" no incluye ninguna agencia del gobierno chino o del PCCh. En otras palabras, no incluye las universidades y otros centros de investigación gestionados o controlados por el gobierno chino. Tampoco incluye al ejército chino ni a los fabricantes de armas chinos. Tampoco incluye las entidades estatales chinas. Aunque no está claro, es probable que el término "otros" tampoco incluya entidades nominalmente privadas controladas por el PCCh. Véase, por ejemplo, Huawei.

Una vez más, ¿qué significa esta disposición de confidencialidad? Tal como se aplica en China, la norma de confidencialidad del artículo 5 pretende impedir que los funcionarios del Ministerio de Seguridad Pública hagan dos cosas: vender datos a empresas chinas o extranjeras para beneficio personal y, en segundo lugar, revelar datos a agentes extranjeros (espías). Esta norma no pretende impedir que el Ministerio comparta los datos que recopila con las personas con información privilegiada descritas anteriormente. De hecho, ese intercambio es obligatorio como parte de las necesidades de datos de todo el gobierno chino y del PCCh. Al Ministerio de Seguridad Pública no se le permite acaparar los datos; se le exige que los difunda dentro del sistema controlado por el Partido de China.

Este resultado nos lleva a la cuestión clave. La información confidencial alojada en cualquier servidor ubicado en China está sujeta a ser vista y copiada por el Ministerio de Seguridad Pública de China y esa información queda entonces abierta al acceso de todo el sistema gubernamental de la RPC. Pero el gobierno de la RPC es el accionista de las Entidades de Propiedad Estatal (SOE), que son las industrias clave en China. El gobierno de la RPC también controla esencialmente las empresas privadas clave en China, como Huawei y ZTE, y más recientemente, Alibaba y Tencent y muchas otras. Ver China está enviando funcionarios del gobierno en empresas como Alibaba y Geely y China para colocar funcionarios del gobierno dentro de 100 empresas privadas, incluyendo Alibaba. El gobierno de la RPC también posee o controla toda la industria armamentística de China.

En pocas palabras, los datos que el Ministerio de Seguridad Pública obtenga de las empresas extranjeras estarán a disposición de los principales competidores de las empresas extranjeras, del sistema de I+D privado y controlado por el gobierno chino y de la industria armamentística y el ejército chinos.

Las consecuencias negativas de esto deberían ser obvias. Pero la cuestión crítica es que las consecuencias van mucho más allá del mero impacto comercial. Los nuevos sistemas chinos se convertirán en una cuestión de seguridad nacional para Estados Unidos y otros gobiernos. Esto plantea un conflicto que las empresas privadas no podrán evitar. ¿Ponen sus datos a disposición del Ministerio de Seguridad Pública chino, como exige la legislación china, o se los ocultan al Ministerio (y a su vez a las Fuerzas Armadas chinas), como exige la legislación de su país de origen? En otras palabras, ¿dejan simplemente de utilizar o proporcionar datos a sus operaciones en China?

El resultado final será que, por lo que respecta a China, el "libre comercio" en las áreas críticas de la tecnología acabará viéndose gravemente restringido. Bienvenidos a la Nueva Normalidad.

IV. La criptografía no es una solución.

La Asamblea Popular Nacional de China promulgó la tan esperada Ley de Cifrado (密码法)), que entró en vigor el 1 de enero de 2020. El texto oficial de la ley puede consultarse aquí y un resumen en inglés aquí.

La criptografía es una tecnología clave que se utilizará para alcanzar los objetivos del programa integral de ciberseguridad. Normalmente, la criptografía se utiliza para proteger la confidencialidad de la información transmitida y almacenada en las redes. Pero su uso plantea un dilema al Partido: la misma criptografía que oculta información al público en general también puede utilizarse para ocultar información al propio gobierno. En este caso, al gobierno chino se le plantea la cuestión de cómo puede exigir criptografía sin dejar de mantener su acceso abierto al sistema de redes.

La Ley divide el cifrado en tres categorías: básico, común y comercial. La principal y la común están destinadas a los sistemas que transmiten y almacenan secretos de Estado de la RPC. La encriptación comercial está destinada a empresas y particulares. Los sistemas de encriptación extranjeros pueden venderse en China si se aprueban y certifican mediante un sistema de certificación que aún no se ha descrito. El uso del cifrado estará sujeto a las disposiciones de la Ley de Ciberseguridad y las normativas MLPS 2.0 asociadas. Artículo 26. La Administración Estatal de Criptografía (SCA), una oficina de la PCCh, tendrá autoridad para supervisar e inspeccionar la implementación y el uso del sistema de criptografía. Artículo 31.

Este sistema de tres clases ignora la forma en que se implementa normalmente la criptografía. Los sistemas criptográficos más importantes no son sistemas comerciales. La mayoría de los sistemas se basan en el sistema Gnu Privacy Guard. Se trata de un sistema completamente abierto. El código fuente está generalmente a disposición del público. Puede descargar el código fuente aquí. No es concebible que las organizaciones que ofrecen sistemas PGP cooperen con el gobierno de la RPC para obtener la revisión y certificación de su producto cuando el objetivo de estos sistemas PGP es permitir a empresas y particulares ocultar su información al gobierno. La cooperación con cualquier gobierno sería contraria a ese principio.

Esto nos lleva a la primera pregunta de la nueva Ley. La mayoría de los sistemas criptográficos pueden descargarse libremente como sistemas de código abierto. El gobierno de la RPC es libre de examinar el código fuente utilizado para implementar el PGP y otros sistemas de código abierto relacionados. La verdadera cuestión es si el gobierno de la RPC permitirá a las empresas y personas que operan en China utilizar PGP y sistemas relacionados, dado que estos sistemas NUNCA serán sometidos al gobierno de la RPC para su revisión y aprobación. Si la respuesta es negativa, entonces todo el conjunto de disposiciones relativas a los sistemas de cifrado extranjeros carece de sentido. Si la respuesta es sí, entonces la designación "comercial" no tiene sentido.

Esto nos lleva a la cuestión más importante. Las técnicas criptográficas no son secretas. Los algoritmos más importantes son públicos y cualquiera puede utilizarlos. Los gobiernos saben exactamente cómo funcionan los algoritmos porque los gobiernos han sido los inventores de la mayoría de estos algoritmos. El enfoque de la Ley de Ciberseguridad en los productos criptográficos no es más que una farsa. Lo crítico en criptografía no es la protección del algoritmo criptográfico; lo crítico es la protección de la clave que permite descifrar el mensaje o los datos cifrados.

La Ley de Criptografía guarda silencio sobre la cuestión del descifrado y también sobre la protección de las contraseñas y otras claves que impiden el descifrado. Su plan final es romper todas las formas de cifrado de extremo a extremo poniendo todas las contraseñas y claves de descifrado en manos del gobierno de la RPC y del PCCh. En otras palabras, opaco para el público pero transparente para el gobierno.

El artículo 31 de la Ley de criptografía prevé un sistema de inspección y control gubernamental aplicado por la SCA y sus agencias locales. Este sistema da a la SCA y a sus agencias locales acceso completo al sistema criptográfico y a los datos protegidos por dicho sistema. Los sistemas también están sujetos al sistema de supervisión y control MPS que se está implantando en virtud de la Ley de Ciberseguridad y el sistema MLPS 2.0 descrito aquí y aquí. Así pues, tanto la SCA (una oficina de la CCP) como el MPS (que trabaja con el MSS) tendrán pleno acceso a los servidores cifrados, incluido el pleno acceso a las claves de descifrado y a las contraseñas. Una vez conseguido este acceso, el cifrado de extremo a extremo desaparece. Para ver una descripción de cómo funciona, consulta esto.

Al final, invitar a proveedores y usuarios extranjeros de criptografía no es más que una trampa para incautos. Una vez que los datos cruzan la frontera china en una red, el 100% de esos datos estarán 100% disponibles para el gobierno chino y el PCCh. La criptografía puede impedir el acceso del público, pero todos estos datos serán un libro abierto para el gobierno de la RPC.

Esto plantea importantes problemas a las entidades estadounidenses y de otros países que confían en el cifrado de extremo a extremo en China como excepción a las normas estadounidenses de control de las exportaciones. Con el nuevo sistema chino, el cifrado de extremo a extremo dejará de existir en China y, por tanto, esta exención de los controles de exportación estadounidenses dejará de ser efectiva. A medida que Estados Unidos amplíe el alcance de la tecnología sujeta a controles de exportación, los riesgos para las empresas extranjeras serán cada vez mayores.

Muchas entidades estadounidenses ven en la criptografía su vía de escape a la Ley de Ciberseguridad china, pero eso no funcionará porque el gobierno de la RPC no lo permitirá. El gobierno chino sabe exactamente lo que está haciendo. El gobierno chino ha establecido un sistema que le permitirá conseguir un sistema totalmente transparente.

V. Un ejemplo concreto: El programa malicioso Golden Tax

El objetivo último del sistema chino es que el Partido instale malware en los sistemas informáticos que permita al Partido y a sus agentes el acceso total al sistema. Este malware suele ser alguna forma de troyano de acceso remoto (RAT), una tecnología de malware en la que los chinos son líderes mundiales. El programa malicioso Golden Tax ofrece un ejemplo concreto de cómo se puede hacer esto.

El gobierno chino y sus bancos controlados por el Estado han trabajado duro durante la última década para "digitalizar" la información y los procedimientos financieros. Hoy en día, una empresa que opere en China prácticamente nunca necesita visitar una oficina de un organismo gubernamental chino o un banco. Las transacciones y los informes se realizan en línea.
Para las operaciones diarias normales, esto significa que lo siguiente se hace a través de Internet:

  1. Operaciones bancarias cotidianas
  2. Informes fiscales mensuales
  3. Pago mensual de impuestos y seguros sociales
  4. Emisión de recibos de IVA
  5. Informes periódicos a los organismos gubernamentales
  6. Para los importadores/exportadores, notificación a las aduanas

Si intentas hacer este tipo de trabajo visitando las oficinas del gobierno chino, te rechazarán.

Todo esto parece moderno y eficaz, pero este amplio uso de Internet esconde un peligro oculto. En todas estas transacciones, las agencias gubernamentales chinas y los bancos exigen que las empresas utilicen el software proporcionado por la agencia o el banco. No se permite ningún software independiente. Este software suele ser un paquete que incluye software de conexión y protección antivirus. En mi experiencia, estos paquetes están mal escritos, tienen errores, son lentos y difíciles de usar. Cuando este software se instala en el ordenador central de una empresa, ralentiza las operaciones hasta el punto de hacerlas inutilizables.

Pero el verdadero problema es más profundo. Como ya se ha dicho, el objetivo del gobierno chino es que las redes de información en China estén cerradas a los forasteros, pero completamente abiertas al gobierno chino. Una vez en Internet, el objetivo del sistema es garantizar que el gobierno chino pueda acceder a toda la información. Para decirlo más claramente, el gobierno chino se ha convertido en el pirata informático más activo de China. El software que las empresas deben instalar en sus sistemas se lo proporciona un hacker: el PCCh. Los riesgos son evidentes.

La realidad del riesgo ha sido expuesta recientemente por Trustwave, una consultora de ciberseguridad con sede en Estados Unidos, en su informe sobre un caso en el que se incluyó malware en un software exigido por un banco chino para el pago de impuestos. Véase The Golden Tax Department and the Emergence of Golden Spy Malware, subtitulado, Trustwave SpiderLabs ha descubierto una nueva familia de malware, apodada Golden Spy, incrustada en el software de pago de impuestos que un banco chino exige instalar a las empresas para realizar operaciones comerciales en China. La historia básica es típica de China. El banco exige la instalación de su software obligatorio, creado por una empresa china privada de "big data" que trabaja bajo contrato con el departamento tributario nacional chino. En otras palabras, el mandato que exige el uso de este software espía procede directamente del gobierno nacional chino en Pekín.

El programa contiene una puerta trasera que realiza dos acciones. En primer lugar, todos los datos enviados al banco y todos los demás datos del ordenador host se transmiten a un servidor propiedad de una empresa privada china conectada con el departamento nacional de impuestos de China. Este servidor está alojado en la nube de Alibaba. En segundo lugar, el software permite al operador de la puerta trasera el acceso completo a todo el sistema informático anfitrión. Trustwave proporciona consejos estándar sobre las mejores prácticas para hacer frente a este tipo de infección. Su consejo de eliminar el software, sin embargo, simplemente no es práctico, ya que las empresas están obligadas a utilizar este software espía para hacer negocios en China. Su alternativa es instalar el software en un ordenador portátil dedicado y aislado del sistema informático principal de la empresa. Este método evita la infección del sistema de red principal de la empresa. Sin embargo, no impide que los datos privados transmitidos a la autoridad fiscal local se transmitan al servidor del malware para ser utilizados con fines no revelados. Tampoco está claro cómo tratará el gobierno chino a una empresa extranjera que aísle sus datos expuestos a un único ordenador no conectado a la red.

Así que ahora sabemos por qué todo este software impuesto por el gobierno chino funciona tan mal. El software está tan lleno de malware, puertas traseras y protocolos de vigilancia que el funcionamiento normal se ralentiza hasta el punto de hacer inutilizables muchos sistemas. Los que trabajamos en China siempre lo hemos supuesto y ahora el informe de Trustwave ofrece un ejemplo concreto.

La cuestión más importante es que esta instalación forzada de programas maliciosos de puerta trasera es un problema constante en China. No se trata sólo de un software de un banco. Como demuestra este caso, el gobierno nacional trabaja con bancos controlados por el gobierno, gobiernos locales, empresas privadas de software/gig data y proveedores de servicios en la nube con sede en China para implantar un sistema que permita el acceso total a toda la información disponible en las redes ubicadas en China.

Podría ser posible implementar protecciones contra una sola pieza de malware, como aconseja Trustwave. Pero, en la práctica, es imposible implementar protección contra las medidas constantes y generalizadas que toma el gobierno chino para acceder a los datos privados de las empresas. Hay demasiados puntos de acceso. Por ejemplo, la inspección obligatoria de las redes de las empresas por parte del gobierno permite la instalación de malware de puerta trasera similar como parte del proceso de inspección.

La cuestión no es simplemente el compromiso del sistema basado en China de los inversores extranjeros. Una vez comprometido el sistema chino, el pirata informático (el gobierno chino) casi siempre puede acceder a toda la red internacional vinculada al sistema pirateado. La infección se propaga desde China por todo el mundo. La informatización, el big data y el dominio de todo el espectro son la máxima prioridad del gobierno chino. Esto tiene importantes implicaciones para las empresas que operan en China y esta realidad debe evaluarse cuidadosamente.

La respuesta habitual al riesgo del malware fiscal por parte de los consultores de ciberseguridad es afirmar que las medidas de ciberseguridad al estilo occidental pueden utilizarse con éxito para defenderse del pirateo liderado por el gobierno en China. Estas propuestas no funcionarán, y la sugerencia de que funcionarán crea una falsa sensación de seguridad que en realidad aumenta el riesgo. Por decirlo crudamente, en China, el propio gobierno es el hacker y no permitirá que técnicos extranjeros o nacionales presten servicios que frustren los objetivos finales del hacker.

Permítanme explicar por qué las técnicas normales de ciberseguridad no funcionarán.

Los consultores de ciberseguridad suelen empezar explicando cómo la configuración de las operaciones bancarias en un ordenador portátil separado puede sellar el sitio comprometido del sitio principal protegido de forma segura. El uso de un ordenador portátil exclusivo para operaciones bancarias es una práctica habitual en China. Yo mismo lo hice en China cuando tuve que intervenir para ayudar a dirigir una empresa allí. La razón por la que se necesita un portátil independiente revela dónde están los problemas. El software de los bancos chinos sólo funciona con una versión china del sistema operativo Windows.

Además, sólo se ejecutará en una versión obsoleta, sin parches y sin soporte de Windows, normalmente una versión obsoleta de Windows 7. La razón es que el malware oculto en el software depende de la explotación de varios fallos que son endémicos en los sistemas operativos Windows sin parches. Por esta razón, cualquier persona que utilice una versión de Windows 10 compatible, con parches y en dos idiomas simplemente no puede hacer uso del software proporcionado por el banco. El uso del ordenador portátil independiente es, por tanto, forzoso.

En la vida cotidiana de una empresa normal en China, este uso de un ordenador portátil independiente resulta totalmente inviable. Es importante comprender que, con el nuevo sistema que he descrito, toda la vida financiera y reguladora de una empresa en China se hace a través de Internet. Por lo tanto, para una protección total, necesitaríamos varios portátiles distintos: uno para cada banco, uno para el departamento de impuestos, uno para los recibos del IVA, uno para el gobierno local, uno para el gobierno nacional, uno para los transitarios, uno para las aduanas, uno para el contable (controlado por el gobierno), uno para el contable y uno para el servicio de prestaciones a los empleados. La lista se hace interminable. Por tanto, existe la presión de combinar todos estos sistemas de software en un único ordenador portátil. Este portátil se utiliza durante toda la jornada laboral. No se conecta al receptor (por ejemplo, el banco) y se desconecta inmediatamente. Permanece conectado a alguien en Internet prácticamente todo el día.

Pero espere, la cosa empeora. Ahora, todos los datos importantes de la empresa se encuentran en uno o varios portátiles dedicados y aislados del sistema principal de la empresa. Pero para hacer negocios, la empresa necesita que los datos de sus portátiles vayan a su sistema principal. Imagínese por un momento que toda la información bancaria de su empresa estuviera en un portátil en una oficina y no formara parte de su sistema principal. Así que los datos de los portátiles tienen que transmitirse regularmente al sistema principal.

No sólo es necesario que los datos del portátil vayan al sistema principal en algún momento para que la empresa funcione con fluidez, sino que también es necesario que los datos del sistema principal vayan al portátil para el uso de los distintos sistemas ubicados en los portátiles. De nuevo, imagínate cómo moverás cada día sin problemas sólo ciertos datos financieros del sistema principal al portátil.

En la práctica, no es posible mantener los sistemas separados y, durante estas transferencias de datos necesarias, se abre la puerta a la infección por malware. De la forma más primitiva, el malware se transfiere cuando se utiliza una memoria USB para la transferencia de datos. Sin embargo, muchas empresas se limitan a realizar la transferencia de datos a través de algún tipo de enlace Ethernet o inalámbrico entre los distintos sistemas. En algunos casos, las empresas simplemente se rinden y trasladan todas sus operaciones financieras importantes al portátil dedicado, o incluso a un ordenador de sobremesa chino con Windows.

Esto es lo que ocurre realmente sobre el terreno en China, y no hay forma de evitarlo. Las empresas de propiedad extranjera en China suelen instalar un sistema basado en el asesoramiento de un experto extranjero en ciberseguridad. Utilizarán sistemas operativos parcheados y actualizados, las protecciones antivirus más modernas, la mejor criptografía y una sofisticada VPN. Todo este trabajo es en vano porque cuando se necesita una conexión de red, China Telecom o alguna otra agencia gubernamental china instalará el sistema de red. Y te dirán que está bien que utilices estos sistemas para tus fines personales, pero que no puedes utilizarlos para ninguna operación que haga uso de Internet en China porque las normas chinas exigen lo siguiente:

  1. Software antivirus aprobado por China.
  2. China aprobó la criptografía.
  3. Un ISP aprobado por China.
  4. Un proveedor de nube autorizado en China.
  5. Software de conexión homologado en China.
  6. Una versión de Windows en chino aprobada en China que le proporcionaremos.
  7. Servicio de asistencia prestado únicamente por un consultor de red autorizado (y controlado) por China.

Para colmo, como ya se ha dicho, las autoridades locales chinas tienen derecho a inspeccionar su sistema en red en cualquier momento y sin previo aviso, y esta inspección se realiza sin la participación del personal de la empresa. Durante esa inspección, sus datos serán eliminados utilizando una unidad de memoria USB. Si los inspectores del gobierno quieren hacerlo, pueden instalar el malware mediante el uso de esa misma unidad USB. La mayoría de las grandes conexiones de red en China se realizan mediante el uso de un sistema en la nube. Las autoridades gubernamentales chinas tienen los mismos derechos para inspeccionar el sistema en la nube. De acuerdo con las normas, el cliente del proveedor de la nube ni siquiera sabrá que su sistema ha sido inspeccionado.

Los sistemas de red se proporcionan a las empresas en China exclusivamente a través del gobierno chino y/o por agencias gubernamentales chinas y/o por consultores de TI aprobados y controlados por el gobierno. El gobierno chino es el principal pirata informático en China, y su ciberseguridad corre a cargo del propio pirata informático. Esto va más allá de una simple conexión de red. El gobierno chino proporciona el sistema de telefonía fija y el sistema de telefonía móvil. El gobierno chino proporciona la conexión a Internet. El gobierno chino proporciona el servidor de correo electrónico. Muchas agencias gubernamentales chinas no utilizan el correo electrónico, sino que exigen que todos los contactos se realicen a través de WeChat, una plataforma completamente insegura y constantemente vigilada por el gobierno chino. Extremando los esfuerzos sugeridos por los mejores asesores de ciberseguridad, una empresa extranjera que haga negocios en China podría ser capaz de evitar uno de estos asaltos a sus datos. Pero cuando los ataques vienen de todas direcciones y están organizados por el propio gobierno chino y respaldados por amenazas de encarcelamiento, cualquier defensa acabará fracasando.

VI. Cómo se empuja a las empresas hacia un sistema de red inseguro.

Como hemos visto, el objetivo del PCCh y sus agentes es empujar a todas las empresas, extranjeras y nacionales, a un sistema de red inseguro que permita la vigilancia, el control y el acceso total del PCCh a todos los datos almacenados o transmitidos a través de las redes dentro de la RPC. Entonces: ¿cómo lo hacen?

A. El Gobierno chino es el hacker.

El objetivo básico del concepto de Seguridad Nacional Integral de la RPC (总体国家安全)) en el ámbito de las redes es que toda la comunicación e información de la red esté abierta y disponible para el gobierno chino, al tiempo que se bloquea el acceso a partes ajenas al Estado. En consonancia con este concepto, el gobierno trata de garantizar que toda la actividad de la red llevada a cabo dentro de China sea transparente para el Estado. Este programa se aplica a todas las personas (físicas o jurídicas) que operan dentro de las fronteras de la RPC (y ahora Hong Kong y Macao). Si usted opera en China, debe asumir que todos sus datos y comunicaciones en red están sujetos a captura por parte del gobierno chino. Ya no se concede ningún estatus privilegiado a las empresas con inversión extranjera ni a los ciudadanos extranjeros; una vez dentro de las fronteras de la RPC, su tratamiento es el mismo que el de las empresas nacionales y los ciudadanos chinos.

¿Cómo aplica el gobierno chino este programa? El punto clave es que el gobierno chino es el hacker. Cuando el hacker participa directamente en la creación y vigilancia de Internet y es el agente clave para la aplicación de la ciberseguridad, es axiomático que no habrá protección contra las actividades de intrusión en la red/recopilación de datos de ese hacker. El hacker dicta cómo funcionará el sistema y, por supuesto, no ofrece ninguna protección contra sus propias actividades.

B. Corporación Aisino

Este hecho básico queda ilustrado por el programa malicioso Golden Spy/Golden Helper comentado anteriormente. Trustwave informa de que el software Golden Spy fue escrito por Aisino Corporation: (Aerospace Information Joint Stock LLC. - 航天信息股份有限公司) Empresa de TI que cotiza en bolsa especializada en seguridad de la información. En su página web figura que es propiedad de la empresa estatal CASIC (China Aerospace Science & Industry Corporation Limited - 中国航天科工集团公司). Véase el capítulo 4 de Golden Spy: Malware Golden Helper incrustado en el software oficial Golden Tax.

CASIC es el principal fabricante de misiles y dispositivos aeroespaciales de la RPC. Vende sistemas de misiles a Corea del Norte y colabora estrechamente con el ejército ruso. Como proveedora de armamento, es una empresa de propiedad estatal bajo el control directo del gobierno de la RPC y del PCCh. En otras palabras, es el gobierno. Recientemente, como parte del plan de la RPC para promover el desarrollo autóctono de las operaciones de red y la computación en nube, CASIC entró en el negocio de redes comerciales a través de Aisino, su filial que había estado activa en el procesamiento de pagos y otros sistemas de contabilidad. La elaboración por parte de Aisino del software fiscal Golden Shield y la implantación del sistema relacionado forman parte de ese proceso.

C. El malware Golden Spy/Golden Helper

El hecho de que Aisino redactara el malware Golden Spy significa que el gobierno de la RPC redactó este malware. En pocas palabras, el gobierno de la RPC es el hacker y este hacker está protegido de cualquier responsabilidad derivada de su actividad de hacking. Esta es la razón por la que Aisino empleó un sistema de troyano burdo y fácil de identificar para este malware. No corre ningún riesgo de que lo descubran, lo castiguen o lo retiren.

Algunos nos han comentado a nosotros y a los profesionales de la seguridad que una intrusión tan obvia demuestra de algún modo que el gobierno de la RPC no puede estar detrás del programa malicioso. ArsTechnica respondió a este tipo de comentarios en términos claros:

Comentario de un lector: "El uso de un descargador de troyanos no es sutil".

Respuesta de ArsTechnica: En cuanto a que sea menos sutil... un malware como este no es sutil según los estándares que estás aplicando aquí, así que es un argumento extraño. También es un poco extraño que pienses que al gobierno chino le importa la sutileza cuando estamos hablando de software que se distribuye por mandato gubernamental dentro de su país. ¿Qué van a hacer las autoridades chinas? ¿Las van a reprimir?

Como deja claro Arstechnica, cuando el malware o la recopilación ilícita de datos corre a cargo del propio gobierno, no hay remedio ni escapatoria. El gobierno chino y su grupo afín de hackers no necesitan ser sutiles ni ocultar sus huellas cuando operan dentro de las fronteras de la RPC.
¿Cuáles son las técnicas utilizadas para empujar a las empresas a una red insegura?

1. Uso forzado de software gubernamental que contiene malware.

El malware Golden Spy/Golden Helper incluido en el software de pago de impuestos exigido por el gobierno de la RPC es un ejemplo de este método. Trustwave ha publicado una serie de informes sobre este malware y sobre la respuesta de Aisino ante las revelaciones públicas sobre este software. Véase Golden Spy: Capítulo 2 - El desinstalador, Golden Spy Capítulo 3: Nuevo y mejorado desinstalador, y Golden Spy Capítulo 4: Malware Golden Helper incrustado en el software oficial Golden Tax. Estos informes de Trustwave deberían ser de lectura obligatoria para cualquier empresa extranjera que planee operar en China.

Los informes de seguimiento de Trustwave revelan los tres aspectos clave siguientes;

En primer lugar, Aisino utilizó el sistema de actualización automática del software Golden Spy para propagar un desinstalador que eliminaba el malware y cualquier archivo u otro rastro de su existencia. Su software utiliza un procedimiento de actualización estándar que puede utilizarse para descargar malware u otro software no autorizado en cualquier momento. Un sistema limpio hoy puede estar infectado mañana. Esto significa que este software es una fuente constante de riesgo.

En segundo lugar, Trustwave descubrió un programa malicioso relacionado pero independiente oculto en el software Golden Tax. Este malware, apodado Golden Helper, estuvo activo en 2018 y 2019. A partir de esto, Trustwave concluye razonablemente que el programa malicioso del software de impuestos no es un evento reciente, sino que ha estado activo durante varios años al menos.

En tercer lugar, Trustwave confirmó mi anterior descripción de la técnica utilizada por los bancos chinos para distribuir el software Golden Tax y su carga maliciosa:

Durante nuestra investigación, hemos sido informados de que el software Golden Tax puede estar desplegado en su entorno como un sistema autónomo proporcionado por el banco. Varias personas afirman haber recibido un ordenador real con Windows 7 (edición Home) con este software Golden Tax (y Golden Helper) preinstalado y listo para usar. Este mecanismo de despliegue es una interesante manifestación física de un troyano.

Ver Golden Spy Capítulo 4: Malware Golden Helper incrustado en el software oficial Golden Tax.

Cuando escribí anteriormente sobre este prevalente e imparable hackeo de la RPC, recibimos comentarios de que nada de esto podía ser correcto porque significaría la proliferación de sistemas informáticos comprometidos. A las personas que no trabajan en la RPC les parece extraño que el gobierno de la RPC exija a las empresas que utilicen un sistema informático inseguro. Pero no es extraño si tenemos en cuenta los objetivos del gobierno. Un sistema comprometido es fácil de piratear. El gobierno es el hacker, así que se lo pone fácil a sí mismo. Los bancos pueden desconocer los detalles del malware y del sistema comprometido; el personal del banco se limita a seguir órdenes.

2. Uso de hardware de red con puertas traseras instaladas.

Hace tiempo que se supone que el hardware de red fabricado en la RPC está repleto de puertas traseras que permiten la intrusión no autorizada del gobierno chino, y un informe reciente confirma esta suposición. Según informa ZDNet, un grupo de investigación ha encontrado sietecasos distintos de malware/puertas traseras en dispositivos de conexión de cables de fibra óptica de redes críticas. Véase Descubiertas cuentas de puerta trasera en 29 dispositivos FTTH del proveedor chino C-Data.

ZDNet describe estas puertas traseras intencionadas de la siguiente manera:

Dos investigadores de seguridad han declarado esta semana que han encontrado graves vulnerabilidades y lo que parecen ser puertas traseras intencionadas en el firmware de 29 dispositivos OLT FTTH del conocido proveedor C-Data. FTTH son las siglas de Fiber-To-The-Home (fibra hasta el hogar), mientras que OLT son las siglas de Optical Line Termination (terminación óptica de línea). El término FTTH OLT hace referencia a los equipos de red que permiten a los proveedores de servicios de Internet acercar los cables de fibra óptica lo máximo posible a los usuarios finales.

Como su nombre indica, estos dispositivos son la terminación de una red de fibra óptica, ya que convierten los datos de una línea óptica en una conexión de cable Ethernet clásica que se enchufa en el hogar de un consumidor, en centros de datos o en centros empresariales. Estos dispositivos están ubicados por toda la red de un ISP y, debido a su papel crucial, son también uno de los tipos de dispositivos de red más extendidos hoy en día, ya que tienen que ubicarse en millones de puntos finales de terminación de red de todo el mundo.

La simple evaluación de este malware es que no puede ser más malo.

C-Data, el proveedor identificado aquí, es una fuente importante de este tipo de hardware dentro de la RPC. La conclusión es que si esta empresa se siente libre para incluir este sistema de puerta trasera en los productos que vende fuera de la RPC, sin duda no tiene restricciones para hacer lo mismo dentro de China. Esto significa entonces que cualquier empresa extranjera que opere en China debe asumir que su conexión a Internet está completamente comprometida por este tipo de malware/puerta trasera en todo su sistema de red. Si no está incluido en su sistema de oficina, es casi seguro que está incluido a nivel de ISP o proveedor de nube.

Este sistema lo instalan proveedores de telecomunicaciones que son propiedad o están controlados por el gobierno de la RPC. Una vez más, es el hacker -el gobierno chino- el que instala el sistema y es el hacker el que entra en los sistemas de red de las empresas a través de estas puertas traseras.

3. 3. Uso del software antivirus exigido por el PRC.

Una de las principales directivas del nuevo régimen de la Ley de Ciberseguridad de la RPC es el requisito de que los usuarios conectados en red utilicen un software antivirus proporcionado por el gobierno chino. Piense en esto por un minuto: el gobierno chino requiere que las empresasutilicen sólo el software "antivirus" que proporciona. Este software antivirus proporciona una plataforma cómoda para que los hackers del gobierno chino entren en la red informática del usuario y, sin duda, también está programado para no revelar el malware del gobierno chino.
Los riesgos de un software antivirus pirateado son bien conocidos en los círculos de ciberseguridad. En Former U.S. spies say antivirus software makes for a perfect espionage platform, Cyberscoop analiza cómo el software antivirus es ideal para el espionaje:

Dado que la mayoría de los proveedores de antivirus han diseñado sus productos para buscar de forma autónoma virus informáticos en los sistemas de los usuarios escaneando directamente los archivos y enviando luego esos datos a un servidor para su análisis, el software es muy intrusivo por naturaleza.

Aparte de los riesgos remotos, los antivirus pueden ampliar la superficie de ataque de un host", afirma Blake Darche, antiguo analista de explotación de redes informáticas de la NSA. "Si un atacante puede acceder al servidor central de antivirus dentro de la red de una organización, ese servidor central puede utilizarse para la distribución de malware".

Las actualizaciones de software, que pueden ayudar a parchear errores u otros problemas en un producto, añaden otro vector de ataque porque proporcionan una vía fiable para la introducción remota de código en ordenadores de todo el mundo.

Los piratas informáticos chinos están muy familiarizados con el uso de software antivirus para este fin. Véase: Una investigación afirma que el ataque a CCLeaner lo llevó a cabo un grupo vinculado a China.

Dentro de la RPC, el uso de software antivirus obligatorio de la RPC eleva aún más los riesgos de pirateo del gobierno chino. Dentro de la RPC, no hay necesidad de un pirateo remoto. El propio pirata informático (el gobierno chino) proporciona a las empresas un sistema esencialmente ya pirateado.

Este sistema previamente pirateado no servirá de pantalla contra el malware creado por el gobierno de la RPC y este sistema también sirve como vector para insertar un flujo continuo de malware proporcionado por el gobierno de la RPC y sus socios.

Imaginemos una situación paralela en Estados Unidos: la NSA y el FBI son los únicos proveedores de software antivirus. Este software podría ser eficaz para filtrar el malware de delincuentes y agentes extranjeros. Pero nadie esperaría que ese software protegiera a los usuarios de las intrusiones de la NSA o el FBI. Sería una tontería. Más tonto aún es creer lo mismo de la República Popular China y su software antivirus impuesto por el gobierno.

4. Pasar del correo electrónico a WeChat.

Después de que el gobierno chino prohibiera Gmail en China, las agencias gubernamentales chinas empezaron a presionar a las empresas extranjeras para que se comunicaran utilizando servicios de correo electrónico aprobados por la RPC. Estos servicios no funcionan bien y son ampliamente conocidos por su inseguridad. Por ello, la mayoría de las empresas extranjeras siguieron utilizando proveedores alternativos de correo electrónico con sede en Estados Unidos y Europa. Estos servicios son relativamente seguros frente a la interceptación de mensajes por parte de los chinos. El correo Proton y otros sistemas con cifrado de extremo a extremo son bastante seguros en China.

El gobierno chino podría haber dado un paso más bloqueando el acceso a todos los proveedores de correo electrónico con sede en el extranjero. Pero las agencias chinas han adoptado un enfoque más creativo. Ahora que el gobierno chino ha asumido esencialmente el control total de WeChat, las agencias chinas fuerzan todas las comunicaciones a la aplicación WeChat. Si envías un correo electrónico a tu banco, éste no responderá. Si envías un correo electrónico a tu oficina de impuestos local, no responderá. Si envía un correo electrónico al departamento de policía local sobre la situación de su visado, no responderá. Lo mismo ocurre con los tribunales chinos, que suelen respondernos simplemente pidiéndonos que nos comuniquemos con ellos a través de WeChat. Lo mismo ocurre con la presentación de documentos. Los organismos gubernamentales chinos casi siempre exigen que los documentos se envíen adjuntos por WeChat en lugar de por correo electrónico.

Esto significa pasar de una seguridad adecuada a la ausencia total de seguridad. Así lo demuestra la reciente clasificación de Amnistía Internacional de las aplicaciones de mensajería instantánea. Amnistía Internacional calificó las 11 principales aplicaciones de mensajería en cuanto a cifrado y privacidad de los usuarios en una escala de 0 a 100. Facebook recibió la máxima calificación, 73 puntos. Facebook recibió la puntuación más alta, 73 puntos. WeChat recibió una puntuación de cero. En otras palabras, Amnistía Internacional concluyó que WeChat no ofrece literalmente ninguna protección contra la piratería informática. Ninguna. Nada. Cero. Nada. 没有. Ver ¿SÓLO PARA SUS OJOS? Clasificación de 11 empresas tecnológicas en materia de encriptación y derechos humanos.

Este cambio forzado a una plataforma de comunicación completamente insegura se hizo de la manera típica de CCP. No hay ninguna ley o reglamento que prohíba el correo electrónico basado en el extranjero. No hay ninguna ley o reglamento que obligue a usar WeChat. La "norma" se impone en la práctica. Si envías un correo electrónico, no te lo devolverán. Si llamas o visitas una agencia gubernamental para quejarte, la respuesta es: "Usa WeChat. Todo el mundo lo hace. Usted también debería". Y así se impone la norma, sin obligación por parte de las autoridades chinas de formalizarla o publicarla.

5. Uso forzado de una versión insegura del Explorador de Windows.

Muchos servicios de la Administración china se prestan ahora por internet. Por ejemplo, muchos formularios y solicitudes sólo son aceptados por las agencias gubernamentales chinas a través de un sistema en línea: no se aceptan solicitudes en papel. Del mismo modo, la información del gobierno se proporciona principalmente en línea. Aquí está el problema. Prácticamente todos los sistemas en línea del gobierno de la RPC sólo funcionan con una versión insegura, anticuada y sin parches del Explorador de Windows, normalmente el Explorador 8. Si intenta utilizar estos sistemas con el Explorador 8, no podrá acceder a ellos. Si intenta utilizar estos sistemas con Chrome, Firefox, Safari u Opera, los sistemas no funcionan. No hay explicación, simplemente no funcionan. El acceso a estos sistemas no es opcional: hacer negocios en China requiere acceso a Internet a estos sitios web gubernamentales. Así que, sin comentarios y sin una regulación formal, el usuario se ve obligado a utilizar un sistema inseguro.

VII. Implicaciones transfronterizas e internacionales

El sistema de ciberseguridad de la RPC se extiende más allá de la frontera china, lo que hace imposible evitarlo incluso no estableciendo operaciones en China. Considere lo siguiente:

1. Cualquier transferencia de datos a China corre el riesgo de que el Partido y sus agentes accedan a ellos. Todas las empresas y organizaciones chinas están sujetas al régimen de ciberseguridad. Supongamos que usted trabaja con una entidad china y que esa entidad, en su propio beneficio, quiere mantener en secreto la información que usted le ha proporcionado. Los sectores a los que van a parar las transferencias de datos altamente confidenciales a China son numerosos: fabricación por contrato, I+D conjunta, licencias tecnológicas. La entidad china con la que usted trabaja está expuesta a los mismos riesgos de divulgación y acceso descritos anteriormente. En consecuencia, cualquier entidad extranjera debe asumir que todos los datos transmitidos a China corren riesgos.

2. En el marco del programa Digital Silk Road, el gobierno chino está trabajando para extender el programa chino de ciberseguridad a todos los países que permitan a las entidades chinas construir sus sistemas de red. Esto permite a China exportar su sistema de vigilancia y control basado en Internet a todo el mundo. Véase ¿Controlará China la Internet mundial a través de su Ruta Digital de la Seda? y Exportación del autoritarismo digital. Esta preocupación se expresa generalmente como una cuestión de derechos humanos. Desde nuestra perspectiva, sin embargo, la preocupación es la creación del modelo de ciberseguridad de la RPC en todo el mundo. A través del sistema de la Ruta Digital de la Seda, el gobierno de la RPC está enseñando a los gobiernos extranjeros cómo crear el sistema transparente de información creado en China. El giro añadido es que las empresas chinas están configurando el sistema para que el gobierno chino tenga pleno acceso al sistema local. Así se está creando un sistema en el que los datos técnicos extranjeros serán adquiridos a dos niveles: por el gobierno local y por el gobierno chino.

3. Muchos sectores industriales han sido previamente pirateados por la ECC y sus agentes. Transferir datos a estos sistemas pirateados es transferir datos al PCC y sus agentes. La industria de semiconductores de Taiwán es un ejemplo. Los fabricantes de semiconductores de Taiwán han sido hackeados a fondo por la RPC. Véase Los piratas informáticos chinos han saqueado la industria de semiconductores de Taiwán. Empleados de alto nivel de los fabricantes de chips de Taiwán han sido contratados para trabajar en China. Véase China contrata a más de 100 ingenieros de TSMC para hacerse con el liderazgo en chips: Los fabricantes de chips emergentes ofrecen suculentos paquetes salariales para captar talentos.. Esto significa que es casi seguro que se están filtrando a la RPC diseños y tecnología de chips confidenciales.