Malware chino: Lo siento, geeks tecnológicos, aún no hay lugar donde esconderse.

China Law Blog

En The Chinese Government is Accessing YOUR Network Through the Backdoor and There Still is NO Place to Hide, expliqué cómo los bancos chinos están exigiendo a los titulares de sus cuentas que instalen un malware que permite al gobierno chino ver todos los datos del titular de la cuenta, ya sean financieros o de otro tipo. Recibimos la serie habitual de comentarios que recibimos cada vez que hablamos de la falta de protección de datos en China:

  1. Hay quien se pregunta por qué escribimos sobre la falta de protección de datos en China cuando "todos los países hacen lo mismo". En primer lugar, este es un blog sobre China. Segundo, no todos los países hacen lo mismo. Tercero, tus datos en China van a parar al gobierno chino, no a Facebook ni a Google, y lo último que hemos visto es que ni Facebook ni Google tienen un poder prácticamente ilimitado para encarcelarte.
  2. Hay quien se pregunta por qué escribimos sobre la falta de protección de datos en China cuando nadie puede hacer nada al respecto y si no sería mejor que todos (incluido SU bufete de abogados) nos calláramos la boca. Sí, sería mejor que nos calláramos la boca y actuáramos como si esto no fuera un problema y siguiéramos animando a las empresas a ir a China estrictamente por dinero. Pero no es así como funcionamos.
  3. Ustedes son abogados internacionales, no especialistas en seguridad de datos, y simplemente no conocen todas las soluciones fáciles que existen para tener una cuenta bancaria en China y no facilitar ningún dato al gobierno chino. Voy a abordar estos comentarios en este post

Los comentarios más interesantes se centraron en la idea de que las medidas de ciberseguridad al estilo occidental pueden utilizarse con éxito como defensa frente al pirateo liderado por el gobierno en China. Una respuesta detallada apareció en el blog Simple Salt de Dylan Evan en Espionaje chino: la saga en curso.

El Sr. Evan se describe a sí mismo y a su blog de la siguiente manera:

Una buena seguridad es fácil para la mayoría de la gente. Quiero explicarte cómo puede ser fácil para ti. No recibo ninguna compensación por el contenido de este sitio y no tengo ningún interés financiero directo en ninguna empresa mencionada en este sitio.

Tengo una amplia experiencia técnica en seguridad corporativa y cumplimiento de la normativa, principalmente para empresas médicas y financieras en EE.UU.. Actualmente trabajo para una gran empresa del sector financiero.

El objetivo declarado del Sr. Evan es demostrar que la ciberseguridad es fácil. Pero no es fácil en China porque a los técnicos capaces como el Sr. Evans no se les permite hacer su magia en China y aparte de su única entrada en nuestro post, no hay nada en el blog del Sr. Evans que indique que haya tenido algo que ver con la ciberseguridad en China antes de la semana pasada. Para que quede claro, no estamos cuestionando los conocimientos de ciberseguridad del Sr. Evans, ni siquiera su conocimiento de la ciberseguridad en China. Simplemente estamos señalando por qué parece no darse cuenta de por qué la ciberseguridad de China no es la ciberseguridad de tu padre en Tulsa o Jacksonville.

Por decirlo crudamente, en China, el propio gobierno es el hacker y no permitirá que ningún técnico extranjero o nacional preste servicios que frustren los objetivos finales del hacker.

Simple Salt comienza su post explicando cómo la configuración de las operaciones bancarias en un ordenador portátil separado puede sellar el sitio comprometido del sitio principal protegido de forma segura. El uso de un ordenador portátil dedicado a fines bancarios es una práctica habitual en China. Yo mismo lo hice en China cuando tuve que ayudar a dirigir una empresa allí. La razón por la que se requiere un portátil independiente revela dónde radican los problemas. El software de los bancos chinos sólo funciona con una versión china del sistema operativo Windows.

Además, sólo se ejecutará en una versión obsoleta, sin parches y sin soporte de Windows, normalmente una versión obsoleta de Windows 7. La razón es que el malware oculto en el software depende de la explotación de varios fallos que son endémicos en los sistemas operativos Windows sin parches. Por este motivo, cualquier persona que utilice una versión de Windows 10 compatible, con parches y en dos idiomas simplemente no puede hacer uso del software proporcionado por el banco. El uso del ordenador portátil independiente es, por tanto, forzoso.

En la vida cotidiana de una empresa normal en China, este uso de un ordenador portátil independiente resulta totalmente inviable. Es importante comprender que, con el nuevo sistema que he descrito, toda la vida financiera y reguladora de una empresa en China se hace a través de Internet. Por lo tanto, para una protección total, necesitaríamos varios portátiles distintos: uno para cada banco, uno para el departamento fiscal, uno para los recibos del IVA, uno para el gobierno local, uno para el gobierno nacional, uno para los transitarios, uno para las aduanas, uno para el contable (controlado por el gobierno), uno para el contable, uno para el servicio de prestaciones a los empleados. La lista se hace interminable. Así que la presión es combinar todos esos sistemas de software en un solo portátil. Este portátil se utiliza durante toda la jornada laboral. No se conecta al receptor (digamos, el banco) y se apaga inmediatamente. Permanece conectado a Internet prácticamente todo el día.

Pero espere, la cosa empeora. Ahora, todos los datos importantes de la empresa se encuentran en uno o varios portátiles dedicados y aislados del sistema principal de la empresa. Pero para hacer negocios, la empresa necesita que los datos de sus portátiles vayan a su sistema principal. Imagínese por un momento que toda la información bancaria de su empresa estuviera en un portátil en una oficina y no formara parte de su sistema principal. Así que los datos de los portátiles tienen que transmitirse regularmente al sistema principal.

No sólo es necesario que los datos del portátil vayan al sistema principal en algún momento para que la empresa funcione con fluidez, sino que también es necesario que los datos del sistema principal vayan al portátil para poder utilizar los distintos sistemas ubicados en los portátiles. De nuevo, imagínate cómo moverás cada día sin problemas sólo ciertos datos financieros del sistema principal al portátil.

En la práctica, no es posible mantener los sistemas separados y, durante estas transferencias de datos necesarias, se abre la puerta a la infección por malware. De la forma más primitiva, el malware se transfiere cuando se utiliza una memoria USB para la transferencia de datos. Sin embargo, muchas empresas se limitan a realizar la transferencia de datos a través de algún tipo de enlace ethernet o inalámbrico entre los distintos sistemas. En algunos casos, las empresas simplemente se rinden y trasladan todas sus operaciones financieras importantes al portátil dedicado, o incluso a un ordenador de sobremesa chino con Windows.

Esto es lo que ocurre realmente sobre el terreno en China, y no hay forma de evitarlo. Algunas empresas de propiedad extranjera en China instalarán un sistema basado en el asesoramiento de un experto extranjero como el Sr. Davies. Utilizarán sistemas operativos parcheados y actualizados, las protecciones antivirus más modernas, la mejor criptografía y una sofisticada VPN. Todo este trabajo es en vano porque cuando se necesite una conexión de red, China Telecom o alguna otra agencia gubernamental china instalará el sistema de red. Y te dirán que está bien que utilices estos sistemas para tus fines personales, pero que no puedes utilizarlos para ninguna operación que haga uso de Internet en China porque las normas chinas exigen lo siguiente:

1. Software antivirus aprobado por China.

2. China aprobó la criptografía.

3. Un ISP aprobado por China.

4. Un proveedor de nube aprobado por China.

5. Software de conexión aprobado por China.

6. Una versión de Windows en chino aprobada en China que le proporcionaremos.

7. Servicio de asistencia prestado únicamente por un consultor de red autorizado (y controlado) por China.

Para colmo, las autoridades locales chinas tienen derecho a inspeccionar su sistema en red en cualquier momento y sin previo aviso, y esta inspección se realiza sin la participación del personal de la empresa. Durante esa inspección, sus datos serán eliminados mediante una unidad de memoria USB. Si los inspectores del gobierno quieren hacerlo, pueden instalar el malware mediante el uso de esa misma unidad USB. La mayoría de las grandes conexiones de red en China se realizan mediante el uso de un sistema en la nube. Las autoridades gubernamentales chinas tienen los mismos derechos para inspeccionar el sistema en la nube. De acuerdo con las normas, el cliente del proveedor de la nube ni siquiera sabrá que su sistema ha sido inspeccionado.

Los sistemas de red se proporcionan a las empresas en China exclusivamente a través del gobierno chino y/o por agencias gubernamentales chinas y/o por consultores de TI aprobados y controlados por el gobierno. El gobierno chino es el principal pirata informático en China, y su ciberseguridad corre a cargo del propio pirata informático. Esto va más allá de una simple conexión de red. El gobierno chino proporciona el sistema de telefonía fija y el sistema de telefonía móvil. El gobierno chino proporciona la conexión a Internet. El gobierno chino proporciona el servidor de correo electrónico. Muchas agencias gubernamentales chinas no utilizan el correo electrónico; en su lugar, exigen que todos los contactos se realicen a través de WeChat, una plataforma completamente insegura y constantemente vigilada por el gobierno chino. Utilizando los esfuerzos extremos descritos en el post de Simple Salt, una empresa extranjera que haga negocios en China podría ser capaz de evitar uno de estos asaltos a sus datos. Pero cuando los ataques vienen de todas direcciones y están organizados por el propio gobierno chino, y todo ello respaldado por amenazas de encarcelamiento, cualquier defensa acabará fracasando.

Así que lo dicho: no hay lugar donde esconderse.

Por esta razón, el análisis ofrecido en el post de Simple Salt y en algunos de los otros comentarios que recibimos son ingenuos y la gran mayoría de las empresas con inversión extranjera en China no tienen capacidad ni para intentarlo. La tarea es demasiado abrumadora y saben que al final fracasarán. La tarea es aún más inútil porque en China estas empresas no tienen ningún lugar al que acudir en busca de ayuda sobre el terreno. Los consultores de ciberseguridad con sede en Estados Unidos no están autorizados a trabajar sobre el terreno en China, por lo que la asistencia no está disponible en la práctica.

Las medidas adoptadas para mantener la seguridad contra la intrusión del gobierno chino se consideran sospechosas o incluso ilegales. Este es un punto importante. En Twitter, nuestro post fue recibido con comentarios de bots y lacayos de China diciendo cosas como "los únicos que se preocupan por este tipo de cosas son los que tienen algo que ocultar". Sin embargo, la verdad es que el gobierno chino no permitirá que ningún consultor ni ninguna empresa venza su programa de ciberhackeo. Este programa es parte de la política crítica del gobierno central.

Los consultores de ciberseguridad con sede en Estados Unidos que promocionan sus servicios comercializando una forma "fácil" de eludir los ciberataques del gobierno chino están haciendo un doble flaco favor. En primer lugar, en China sus medidas sencillamente no funcionarán. En segundo lugar, las empresas que utilizan estas medidas se arriesgan a ser identificadas como un "problema", lo que conduce a un escrutinio aún más intrusivo de sus sistemas de red y a un posible aumento del escrutinio y la interferencia en sus operaciones comerciales en China, tal vez incluso a la cárcel. Véanse, por ejemplo, los siguientes artículos, todos publicados en las dos últimas semanas, en los que se detalla cómo China no se toma muy bien que los extranjeros intenten burlar el sistema chino:

  1. EE.UU. advierte a sus ciudadanos en China de que corren el riesgo de ser detenidos "arbitrariamente
  2. Los australianos corren el riesgo de ser detenidos arbitrariamente en China, advierte el DFAT
  3. La ley china de seguridad nacional para Hong Kong cubre a todos los habitantes de la Tierra
  4. China cree que puede detener a cualquier persona del planeta por criticar el comunismo
  5. Cómo este hombre de Long Island acabó en una cárcel china acusado de espionaje
  6. Michael Kovrig y Michael Spavor: China acusa a los canadienses de espionaje

Reto a cualquiera a que lea estos artículos y luego sugiera que las empresas de China configuren sus sistemas de red para eludir los dictados del gobierno chino.

Así que, como he señalado, no hay lugar donde esconderse. Sólo estás "a salvo" si el gobierno chino no tiene interés en ti. Los tecnotipos que piensan que pueden derrotar al sistema chino sobre el terreno en China viven en un mundo de ensueño. Pero para ellos no hay ningún riesgo. Los riesgos recaen sobre las empresas extranjeras que operan en China. Son esos riesgos los que trabajamos para identificar en este blog. Esos riesgos son reales y no pueden disolverse con tecno-magia.

¿Qué ves ahí fuera?

Compartir

China Law Blog

China Law Blog se centra en los aspectos prácticos de la legislación china y en cómo afecta a las empresas extranjeras que hacen negocios en o con China. El objetivo es ayudar a los lectores a entender qué funciona y qué no funciona y qué pueden hacer los empresarios para utilizar la ley en su beneficio. China Law Blog El objetivo del libro es ayudar a las empresas que ya están en China o que planean entrar en el país, no abrir nuevos caminos en la teoría o la política jurídica.

Blog de Harris Sliwoski Leer más artículos
Seguir leyendo

Fundamentos del Derecho mercantil chino, Internet

Entradas relacionadas

Un hombre en una escalera busca una pieza de rompecabezas que representa la necesidad de comprender los requisitos de información CFIUS para la inversión extranjera sobre un mapamundi digital iluminado por conexiones de red.

Requisitos de información CFIUS para inversores no estadounidenses
Debida diligencia en China

Aspectos básicos del cumplimiento de la legislación china
Abogados chinos para estafas en China

Ningún producto de China a pesar de haber pagado por él
Condiciones de pago en China que harán que le paguen

Cómo asegurarse de que le pagan cuando hace negocios con empresas chinas
Maqueta de una tarjeta de identificación personal china.

Su marca en China ya está registrada: ¿Y ahora qué?
Ejecución de sentencias estadounidenses en China

Ejecución de sentencias estadounidenses en China: Lo que debe saber
Política comercial de EE.UU. con China

Duelo de sanciones entre EE.UU. y China: Guía para empresas
Guía para elegir fabricante

Las tres claves para no ser estafado al fabricar en el extranjero
Abogados especializados en diligencia debida en China

Diligencia debida en China: NO es opcional
china law blog

Redactar su propio contrato con China
Acuerdos NNN en China

Acuerdos NNN en China: Respuesta a las diez preguntas más frecuentes
Pantalla de ordenador portátil que muestra un despertador e iconos que indican la prohibición de música y sonido.

El tic-tac del reloj se detiene en TikTok
Varios moldes de resina epoxi junto a recipientes de resina y endurecedor sobre una superficie de madera.

Nuevas peticiones AD/CVD: Determinadas resinas epoxi originarias de China, India, Corea del Sur, Taiwán y Tailandia (AD/CVD)
Trasladar su fabricación de China a México

México frente a China en riesgos de fabricación
Legislación china sobre derechos de autor

Ley de Propiedad Intelectual de China: Conceptos básicos