Abogado especializado en ciberseguridad en China

El Gobierno chino tiene tus datos y no hay mucho que puedas hacer

Dan Harris

Jonathan Bench

Abogado especializado en ciberseguridad en China

La seguridad de los datos en China

Este post aborda las opciones que tienen las empresas extranjeras para operar en China y proteger sus datos críticos. Normalmente se parte de la base de que debe haber una solución técnica que permita a las empresas extranjeras proteger sus datos técnicos privados en China. El problema es técnico, así que debe haber una solución técnica.

Basta de optimismo tecnológico

Esto es un síntoma de tecnooptimismo poco realista. No se puede hacer casi nada. Cualquier forma de datos que transmitas a través de la frontera china está disponible para ser inspeccionada y utilizada por el Partido Comunista y sus agentes.

Tienes tres opciones. Ninguna es buena.

¿Qué hacer entonces? Tienes tres opciones básicas.

1. Identifique los datos técnicos que no desea que obtenga la CCP. A continuación, no transfiera esos datos a ningún lugar de China por ningún motivo. Si esto significa que no puede hacer negocios en China, eso es lo que significa.

2. Capitular y permitir que sus datos sean tomados por el PCC.

3. Suponga que todos sus sistemas en China están en peligro. A continuación, trabaja con tu consultor de ciberseguridad para diseñar un sistema en China que funcione en una situación en la que todos los implicados sepan que el sistema está comprometido. Este es el tipo de programa que utiliza la gente que trabaja en entornos hostiles. Es el reino del espionaje y de las operaciones tras las líneas en tiempos de guerra. Estas técnicas de evasión se proporcionan regularmente a disidentes y personas oprimidas que operan en China. Así pues, las técnicas de evasión existen.

Los problemas de las técnicas de evasión

El problema es que estas técnicas presuponen un entorno abiertamente adverso. Las personas que utilizan estas técnicas entienden que habrá castigo si se descubre la técnica de evasión. Por ese motivo, es demasiado arriesgado para los directivos y empleados sobre el terreno hacer uso de este enfoque. Así que, aunque este enfoque sea técnicamente factible, la aplicación de estas técnicas no suele ser práctica. Sin embargo, una vez comprendido el problema, puede ser posible que los profesionales extranjeros de la ciberseguridad diseñen técnicas utilizables que puedan aplicarse con seguridad en un entorno comprometido como China.

Estas son las tres posibles respuestas a China. Mientras el PCCh gestione el sistema de ciberseguridad chino, no hay lugar donde esconderse en China. Toda entidad que opere en China debe hacer una evaluación franca de los riesgos que asume al trabajar dentro del sistema existente. No hay escapatoria si no se afronta el problema directamente.

Por qué las alternativas comunes no funcionan

Considere por qué cualquier otra alternativa sencillamente no funcionará. Por ejemplo, imaginemos una situación en la que un poderoso inversor extranjero en China declara lo siguiente a los reguladores:

Sabemos que quiere robar los datos alojados en nuestros servidores ubicados en China. Sólo transferiremos esos datos a China si nos proporcionan una exención general a su sistema de ciberseguridad. Alojaremos nuestros datos en servidores instalados por nuestros propios técnicos. Sólo utilizaremos equipos que hayamos inspeccionado en busca de malware y puertas traseras. Utilizaremos nuestro propio cifrado y no le facilitaremos las claves. Nos comunicaremos por nuestra propia VPN segura que nos exime de cualquier control por parte del Gran Cortafuegos. Utilizaremos nuestro propio software antivirus extranjero. Nuestros sistemas de red funcionarán con el software de servidor y sistema operativo más avanzado.

Sabemos que este sistema no es conforme con el sistema chino de ciberseguridad, vigilancia y control. Pero permitirnos utilizar nuestro sistema no conforme que opera fuera del Gran Cortafuegos y fuera del sistema de ciberseguridad es el precio que China debe pagar para que nuestra empresa opere dentro de China o transfiera cualquier tipo de tecnología a China. O lo tomas o lo dejas.

Dado que esta demanda viola la legislación y la política chinas, el gobierno chino la rechazará. Pero a efectos de este debate, supongamos que las autoridades chinas acceden a permitir que un inversor extranjero opere según lo anterior. Seguiría sin funcionar porque el sistema chino obliga a cualquiera que opere en China a entrar en un entorno inseguro y, una vez en ese entorno inseguro, cualquier sistema de ciberseguridad fracasará. Pensar que una solución cibernética proporcionará un lugar donde esconderse es una fantasía peligrosa.

El sistema chino conduce a todas las personas y entidades a un entorno de red inseguro. El objetivo último del PCCh es instalar programas maliciosos en todos los dispositivos de la red. Uno de los principales objetivos de este programa son los teléfonos inteligentes. En la China actual, nadie puede funcionar sin un teléfono inteligente. Prácticamente todos los aspectos de la vida cotidiana y la vida empresarial requieren aplicaciones de teléfonos inteligentes. El Partido y sus agentes son conscientes de ello y se cree que han instalado programas maliciosos en todos los teléfonos inteligentes fabricados o utilizados en China.

La realidad del malware en China: Está en todas partes

El uso forzado de WeChat es un ejemplo de cómo funciona el sistema. Varios de nuestros clientes nos han preguntado si deberían preocuparse por WeChat como vector de infección de malware en sus sistemas. Esta pregunta no viene al caso. WeChat ES malware. Si instalas WeChat en tu sistema, estás instalando malware. No es necesaria una sofisticada campaña de phishing. Lo has hecho tú mismo. Hay una razón para ello. Ninguna empresa puede hacer negocios en China sin utilizar WeChat. No hay escapatoria si operas en China o si, fuera de China, trabajas con empresas y particulares chinos. Prácticamente todas las aplicaciones para teléfonos inteligentes distribuidas por el gobierno chino son una forma de malware. He aquí algunos ejemplos.

1. El estudio del pensamiento de Xi Jinping es ahora obligatorio en China. El Partido ha creado una aplicación para teléfonos inteligentes destinada a promover ese estudio: la aplicación Estudiar la Gran Nación. Casi todo el mundo en China tiene esta aplicación. Dado que el avance dentro del Partido y la burocracia requiere el uso de la aplicación (y dado que su uso está supervisado), se accede a ella con regularidad. La aplicación es más que una herramienta educativa, es una forma de malware y lleva a cabo tareas de recopilación de información, transmisión y protección de archivos, ejecución de código y puertas traseras, ofuscación para ocultar funcionalidades y colaboración con empresas externas. El ejecutivo extranjero medio no tendrá instalada esta aplicación. Pero los miembros de la célula del Partido en la oficina de ese ejecutivo extranjero tendrán esa app en su teléfono, como la tendrán prácticamente todas las personas en China con las que haga negocios. No hay forma eficaz de evitar el alcance de la aplicación y sus funciones de recopilación de datos.

2. Muchos gobiernos de China crearon aplicaciones de teléfonos inteligentes para supervisar la autocuarentena y otras medidas como parte de sus programas de control de coronavirus. La más conocida de ellas se creó en Hangzhou y, al igual que la aplicación Great Nation, esta aplicación es también una forma de malware. Esta app era necesaria para las funciones cotidianas de la vida: entrada en barrios, compra de billetes de tren y autobús, entrada en centros comerciales. Esta aplicación no podía evitarse, y sin duda sigue estando en los teléfonos de muchas personas a día de hoy.

3. Incluso los turistas extranjeros y otros visitantes extranjeros a China se ven obligados a entrar en el sistema de malware de teléfonos inteligentes de China. Se ha convertido en un procedimiento habitual para el control fronterizo de China inspeccionar el teléfono inteligente de cada persona que entra en China y estas inspecciones son particularmente exhaustivas para la entrada en zonas sensibles como Xinjiang y el Tíbet. Como parte del proceso de inspección, los agentes fronterizos instalan ahora de forma rutinaria malware de rastreo en esos teléfonos inteligentes y no se permite a los turistas optar por no hacerlo, ya que su cumplimiento es una condición para la entrada. Este procedimiento demuestra cómo funciona el sistema de ciberseguridad chino. Primer paso: la inspección policial es obligatoria. Segundo paso: la policía se lleva todos los datos que quiera. Tercer paso: la policía deja malware de rastreo para que el gobierno chino y sus empresas favoritas puedan acceder permanentemente al dispositivo de red. Esto es exactamente lo que hacen el PCCh y sus agentes cuando "inspeccionan" las redes informáticas de las oficinas y los sistemas en la nube externos. La inspección es una tapadera para la inserción de malware. La inserción de malware es el objetivo principal.

El software es la verdadera amenaza

Todos los sistemas en red en China reciben el mismo trato: teléfonos inteligentes, redes informáticas, sistemas en la nube. El objetivo del PCCh es empujar a todos los usuarios de estas redes a un entorno inseguro. Muchos de nuestros lectores han expresado su preocupación por el uso de hardware chino. Creen que pueden escapar de la vigilancia de datos china utilizando sus propios dispositivos de hardware autocertificados. Pero el hardware no es el problema. El problema es el software. El Partido y sus agentes le permitirán utilizar el hardware de su elección. El sistema de ciberseguridad funciona tan bien para China porque te impone su sistema forzándote a un entorno de software comprometido e inseguro. Si estás en China o tratas con China, formas parte del sistema de vigilancia chino.

Su hardware no importa para China, aunque es cierto que gran parte del hardware Made in China (véase el sistema 5G de Huawei) se ha desarrollado para controlar fuera de China. Prueba de ello es la continua saga de intentos de Huawei de participar en el despliegue de redes 5G en el Reino Unido. A pesar de que Huawei estaba bajo intensa presión para hacer frente a las preocupaciones de seguridad en el Reino Unido, la Junta de Supervisión de Huawei del Reino Unido encontró que los sistemas de Huawei no cumplían con las normas mínimas de seguridad. La razón del fallo NO está relacionada con el hardware de Huawei. Los problemas de seguridad están relacionados con el componente de software. "Se encontraron pruebas sostenidas de malas prácticas de codificación, incluidas pruebas de que Huawei sigue sin seguir sus propias directrices internas de codificación segura". El informe detectó "vulnerabilidades críticas de cara al usuario" en los productos de acceso fijo causadas por "una calidad de código especialmente deficiente" y el uso de un sistema operativo antiguo.

Esto se hace eco de la forma en que funcionan los sistemas inseguros de China: los usuarios se ven obligados a utilizar software mal escrito, impuesto por el gobierno, y sistemas operativos obsoletos. Incluso cuando distribuye productos a un gobierno extranjero muy sospechoso, Huawei no puede escapar de la estructura básica del régimen de ciberseguridad de la RPC porque sus ventas dentro de China exigen que operen de esta manera. Todo esto es una característica de un sistema que prioriza la vigilancia del PCCh sobre los ingresos. Una de mis mayores preocupaciones es que los dispositivos del Internet de las Cosas, como las luces inteligentes, los termostatos inteligentes y otros artículos de este tipo vendidos a los consumidores estadounidenses se vean igualmente comprometidos.

¿Qué puede hacer? ¿Qué puede hacer usted?

¿Qué se puede hacer, si es que se puede hacer algo, cuando no hay forma práctica de proteger los datos de red que cruzan la frontera china? El sistema chino de ciberseguridad está diseñado para que todas las redes de cualquier tipo estén abiertas al acceso del PCCh y sus agentes. Este acceso incluye la recopilación y el uso de todos los datos disponibles en todas las redes que operan dentro de las fronteras de la RPC. Para una empresa con inversión extranjera, esto significa acceso y uso de todos los datos técnicos que crucen la frontera china.

La respuesta a lo que se puede hacer es que hay que entender la realidad china. No se engañe pensando que puede derrotar al omnipresente sistema de ciberseguridad chino. En ese sentido, la respuesta es bastante sencilla: si hay datos que no quieres que vea el PCCh, no los envíes a China.

Durante años, los inversores extranjeros se han esforzado por encontrar una "solución" al sistema chino. No hay ninguna solución. China no tiene lagunas jurídicas. No hay lugar donde esconderse.

Compartir

Dan Harris

Dan Harris es miembro fundador de Harris Sliwoski, un bufete de abogados internacional en el que representa principalmente a empresas que hacen negocios en países con mercados emergentes. Dedica la mayor parte de su tiempo a ayudar a empresas estadounidenses y europeas a navegar por países extranjeros trabajando con los abogados internacionales de su bufete en la creación de empresas en el extranjero (WFOE, filiales, oficinas de representación y empresas conjuntas), la redacción de contratos internacionales, la protección de la propiedad intelectual y la supervisión de operaciones de fusión y adquisición. Además, Dan escribe y da numerosas conferencias sobre Derecho internacional, centrándose en la protección de las empresas extranjeras en sus operaciones en el extranjero. También es un bloguero prolífico y muy seguido, que escribe como coautor del galardonado China Law Blog.

Harris Sliwoski Abogado Leer más artículos

Jonathan Bench

Jonathan es presidente del grupo de práctica empresarial de Harris Sliwoski, donde ayuda a empresas públicas y privadas en transacciones comerciales nacionales e internacionales. Su clientela incluye empresas de Asia, Europa, África y América. Jonathan ha trabajado y asesorado en EE.UU., Asia y Sudamérica y habla con fluidez chino mandarín y cantonés. Es un experto legal emergente en blockchain y disfruta desarrollando estrategias legales internacionales con proyectos web3 prometedores.

Harris Sliwoski Abogado Leer más artículos
Seguir leyendo

China Negocios, Propiedad Intelectual (PI), Internet

Entradas relacionadas

Cierre de una WFOE china

Cómo cerrar su WFOE china y cómo ponerla en "hibernación" (101)
Un hombre en una escalera busca una pieza de rompecabezas que representa la necesidad de comprender los requisitos de información CFIUS para la inversión extranjera sobre un mapamundi digital iluminado por conexiones de red.

Requisitos de información CFIUS para inversores no estadounidenses
Debida diligencia en China

Aspectos básicos del cumplimiento de la legislación china
Abogados chinos para estafas en China

Ningún producto de China a pesar de haber pagado por él
Condiciones de pago en China que harán que le paguen

Cómo asegurarse de que le pagan cuando hace negocios con empresas chinas
Maqueta de una tarjeta de identificación personal china.

Su marca en China ya está registrada: ¿Y ahora qué?
Ejecución de sentencias estadounidenses en China

Ejecución de sentencias estadounidenses en China: Lo que debe saber
Política comercial de EE.UU. con China

Duelo de sanciones entre EE.UU. y China: Guía para empresas
Guía para elegir fabricante

Las tres claves para no ser estafado al fabricar en el extranjero
Abogados especializados en diligencia debida en China

Diligencia debida en China: NO es opcional
china law blog

Redactar su propio contrato con China
Acuerdos NNN en China

Acuerdos NNN en China: Respuesta a las diez preguntas más frecuentes
Pantalla de ordenador portátil que muestra un despertador e iconos que indican la prohibición de música y sonido.

El tic-tac del reloj se detiene en TikTok
Varios moldes de resina epoxi junto a recipientes de resina y endurecedor sobre una superficie de madera.

Nuevas peticiones AD/CVD: Determinadas resinas epoxi originarias de China, India, Corea del Sur, Taiwán y Tailandia (AD/CVD)
Trasladar su fabricación de China a México

México frente a China en riesgos de fabricación