Las recientes prohibiciones de Estados Unidos a empresas tecnológicas chinas (añadiéndolas a la Lista de Entidades de la Administración de Exportaciones de Estados Unidos) no son nuevas, sino la continuación de una preocupación constante por las deficiencias del gobierno chino. Se trata del mismo gobierno chino que exige a las organizaciones chinas que "apoyen, cooperen y colaboren en las labores de inteligencia nacional", acelerando el gran salto tecnológico de China mediante la apropiación de secretos comerciales y tecnología de otras empresas y gobiernos. El gobierno y las empresas estadounidenses están preocupados, y con razón, desde hace décadas. Varias empresas chinas (generalmente del sector aeroespacial) y rusas (del sector nuclear) han figurado en la Lista de Entidades desde su creación en 1997, cuando muchos de nosotros utilizábamos Netscape Navigator en nuestros módems de 28,8Kbps o 33,6Kbps y sólo podíamos acceder a Internet de banda ancha (y a nuestro motor de búsqueda favorito Lycos) en nuestras universidades locales. 1997 fue cuatro años antes de la adhesión de China a la OMC.
Robar secretos era mucho más difícil hace dos décadas. Avance rápido hasta 2008, cuando los expertos expresaron su preocupación por el hecho de que las intrusiones cibernéticas de China fueran cada vez "más frecuentes, más selectivas y más sofisticadas". Hoy en día, con Internet de banda ancha, las empresas de telecomunicaciones como Huawei tienen el potencial de incrustar software y hardware repleto de malware en prácticamente todos los nodos de Internet y en prácticamente todos los dispositivos de IoT. EE.UU. no quiere paralizar los avances tecnológicos chinos "sólo porque" EE.UU. es un matón económico, aunque ese sea el estribillo interno del gobierno chino. La denuncia de la Sección 301 de la USTR se centra en las prácticas comerciales desleales de China y en las acciones manifiestas que sientan las bases para que las empresas chinas adquieran, fuercen la transferencia o roben secretos comerciales, incluida la propiedad intelectual, los datos personales de los clientes y valiosos datos tecnológicos. Como ya comentamos en una entrada anterior del blog sobre la propia ley china de ciberseguridad, China reconoce el valor de sus datos y exige a todos los operadores de ICI (infraestructuras críticas de información) que mantengan dentro de China continental toda la información personal y los datos importantes recopilados y generados dentro de China continental. No se les permite transmitir esos datos al extranjero sin pasar antes una revisión de seguridad.
Las empresas estadounidenses afectadas por la ciberdelincuencia, de la que China ha sido identificada por los expertos en seguridad como "el perpetrador de espionaje económico más activo y persistente del mundo", no disponen de muchas vías para hacer frente a estas amenazas persistentes avanzadas. Dependiendo de la información a la que se haya accedido y que haya sido robada como resultado de la violación de los sistemas, las empresas se preocuparán generalmente de (1) el control de los daños (tranquilizar a su valiosa base de clientes asegurándoles que no se ha puesto en peligro nada sensible o que "no volverá a ocurrir"), (2) cómo evitar ser pirateadas de nuevo (mejorando sus defensas de red y seguridad), y (3) cómo mitigar los daños de la empresa en el mercado por los secretos comerciales robados que están siendo utilizados por sus crecientes competidores chinos (preservando el valor de la empresa en el futuro, lo que es extremadamente importante para los accionistas). Los piratas informáticos chinos buscan información tecnológica de alto valor, lo que significa que cualquier información de valor para la empresa estadounidense será valiosa para una empresa china similar del mismo sector.
Estados Unidos no se queda de brazos cruzados, sino que recientemente ha puesto en el punto de mira a cinco empresas chinas de superordenadores añadiéndolas a la Lista de Entidades, empresas que se unieron a las filas de otras cuatro empresas chinas de superordenadores incluidas en 2015. El gobierno estadounidense también está incrementando su guerra cibernética ofensiva contra Irán, China y otros países, y los hackers chinos, al menos, contraatacan, y son persistentes. ¿Qué recurso tienen las empresas estadounidenses ante tanta agresión implacable, que a veces es diaria? Pueden denunciar la intrusión y el robo a las fuerzas de seguridad estatales y federales de Estados Unidos, que quizá no tengan el tiempo, los recursos o la inclinación para perseguir el hackeo (solo 165 casos de fraude informático fueron perseguidos por el DOJ en 2017 y solo 160 en 2018). O tal vez puedan recibir una comisión en el campo de batalla y unirse a las filas de los diputados en el conflicto cibernético mundial.
Recientemente, el representante estadounidense Graves, de Georgia, propuso el proyecto de ley H.R. 3270, Active Cyber Defense Certainty Act (Ley de certidumbre de la ciberdefensa activa), cuyo objetivo es proporcionar una defensa frente al procesamiento por fraude y actividades relacionadas que se lleven a cabo para adoptar medidas defensivas contra intrusiones no autorizadas en las redes de información de las empresas. En resumen, el proyecto de ley protegería a los hackers defensivos de ser procesados en Estados Unidos si siguen ciertas pautas. En primer lugar, deben denunciar el delito a las fuerzas de seguridad, concretamente a la National Cyber Investigative Joint Task Force del FBI, y recibir luz verde para seguir adelante con las medidas defensivas (ya sea obteniendo la aprobación prospectiva o la aprobación para desplegar medidas defensivas después de haber sido hackeados). El FBI puede proporcionar orientación adicional para mejorar esas medidas defensivas. En segundo lugar, deben mejorar las medidas defensivas de su sistema, lo que incluye recibir una formación reforzada, utilizar contraseñas seguras y actualizar y parchear rutinariamente los sistemas informáticos. En tercer lugar, se advierte a los defensores que no violen las leyes de ninguna otra nación en la que pueda residir el ordenador del atacante. Esto limita severamente lo que un defensor puede hacer, pero la palabra clave en la legislación propuesta es "defensa", no "ataque". En cuarto lugar, las técnicas de ciberdefensa sólo deben ser empleadas por defensores cualificados con un alto grado de confianza en la atribución, y debe extremarse la precaución para no afectar a ordenadores intermedios (que son la base de todos los ciberataques sofisticados), escalar la ciberactividad o causar daños colaterales (por ejemplo, lesiones físicas, pérdidas financieras o amenazar la salud o la seguridad públicas, incluyendo afectar a ordenadores del gobierno de Estados Unidos). La tecnología de atribución está permitida para ayudar a identificar al atacante, pero las medidas que permiten al defensor contraatacar de manera ofensiva para paralizar todo el sistema del atacante no están autorizadas (pero el defensor puede interrumpir el pirateo ofensivo continuado que afecte a sus propios sistemas).
Los defensores seguirán teniendo la posibilidad de reclamar recursos civiles (daños compensatorios y medidas cautelares) si recurren a estas medidas defensivas. Las medidas de ciberdefensa activa no tendrán que llevarse a cabo únicamente a través de expertos internos en ciberseguridad, sino que podrán emprenderse "bajo la dirección" de un defensor autorizado. Esto significa que las filas de las empresas de ciberseguridad pueden engrosarse en el futuro con aspirantes a hackers defensivos y que el resto de nosotros puede querer invertir en las acciones de empresas de ciberseguridad estadounidenses fiables y creíbles. Estas amenazas de China, Corea del Norte, Irán, Rusia y otros países seguirán aumentando, no disminuyendo.
Quizás haya un resquicio de esperanza. China lleva décadas robando secretos comerciales en detrimento de las empresas estadounidenses. Pero a pesar de todos sus esfuerzos, China aún tiene que desarrollar muchas industrias nacionales sólidas a partir de estas tecnologías robadas. Esto se debe a que tener los planos en la mano no es lo mismo que contar con los profundos conocimientos que crearon el plan(véase China's Copycat Airforce). ¿Cuándo tendrá China la capacidad (y la fuerza de voluntad) de replicar plenamente lo que Estados Unidos tiene en fuerza de I+D?
Mientras tanto, sigue siendo crucial evaluar y mejorar la seguridad de su red y formar (y reciclar) a cualquier persona con acceso a su red.
