El gobierno chino y sus bancos controlados por el Estado han trabajado duro durante la última década para "digitalizar" la información y los procedimientos financieros. Hoy en día, una empresa que opere en China prácticamente nunca necesita visitar una oficina de un organismo gubernamental chino o un banco. Las transacciones y los informes se hacen en línea.
Para las operaciones diarias normales, esto significa que todo lo siguiente se hace a través de Internet:
- Operaciones bancarias cotidianas
- Informes fiscales mensuales
- Pago mensual de impuestos y seguros sociales
- Emisión de recibos de IVA
- Informes periódicos a los organismos gubernamentales
- Para los importadores/exportadores, notificación a las aduanas
Si intentas hacer este tipo de trabajo por el método anticuado de visitas personales a las diversas oficinas gubernamentales chinas, te rechazarán.
Todo esto parece moderno y eficaz. Pero este amplio uso de Internet esconde un peligro oculto. En todas estas transacciones, las agencias gubernamentales chinas y los bancos exigen que las empresas utilicen el software proporcionado por la agencia o el banco. No se permite ningún software independiente. Este software suele ser un paquete que incluye software de conexión y protección antivirus. Según mi experiencia, estos paquetes están mal escritos, tienen errores, son lentos y difíciles de usar. Cuando se instalan en el ordenador central de muchas empresas, ralentizan las operaciones hasta el punto de resultar inutilizables.
Pero el verdadero problema es más profundo. Como he comentado en entradas anteriores, el objetivo del gobierno chino es hacer que las redes de información en China estén cerradas a los forasteros, pero completamente abiertas al gobierno chino. Véase El nuevo programa de ciberseguridad de China: NO Place to Hide y China's New Cybersecurity System: NO hay lugar donde esconderse. Como he dicho en estos dos posts, no hay lugar donde esconderse. Una vez en Internet, el gobierno chino tendrá acceso a la información. Para decirlo más claramente, el gobierno chino se ha convertido en el pirata informático más activo de China. Así que cuando una empresa instala el software necesario en sus sistemas, este software está siendo proporcionado por un hacker. Los riesgos son evidentes. En respuesta a estos dos posts, muchos de nuestros lectores "sugirieron" que no fuéramos "tan negativos" sobre este pirateo porque "algunos de nosotros todavía necesitamos hacer negocios en China", pero nadie ha cuestionado nuestra conclusión sobre los riesgos.
La realidad del riesgo ha sido expuesta recientemente por Trustwave, una consultora de ciberseguridad con sede en Estados Unidos, en su informe sobre un caso en el que se incluyó malware en un software exigido por un banco chino para el pago de impuestos. Véase The Golden Tax Department and the Emergence of GoldenSpy Malware, subtitulado, Trustwave SpiderLabs ha descubierto una nueva familia de malware, apodada GoldenSpy, incrustada en el software de pago de impuestos que un banco chino exige instalar a las empresas para realizar operaciones comerciales en China. La historia básica es típica de China. El banco exige la instalación de su software obligatorio, creado por una empresa china privada de "big data" que trabaja bajo contrato con el departamento tributario nacional chino. En otras palabras, el mandato que exige el uso de este software espía procede directamente del gobierno nacional chino en Pekín.
El programa contiene una puerta trasera que realiza dos acciones. En primer lugar, todos los datos enviados al banco y todos los demás datos del ordenador host se transmiten a un servidor propiedad de una empresa privada china conectada con el departamento nacional de impuestos de China. Este servidor está alojado en la nube AliBaba. En segundo lugar, el software permite al operador de la puerta trasera el acceso completo a todo el sistema informático anfitrión. Trustwave proporciona consejos estándar sobre las mejores prácticas para hacer frente a este tipo de infección. Su consejo de eliminar el software, sin embargo, simplemente no es práctico, ya que las empresas están obligadas a utilizar este software espía para hacer negocios en China. Su alternativa es instalar el software en un ordenador portátil dedicado que esté totalmente aislado del sistema informático principal de la empresa. Este método evita la infección del sistema de red principal de la empresa. Sin embargo, no impide que los datos privados transmitidos a la autoridad fiscal local se transmitan al servidor del malware para ser utilizados con fines no revelados. Tampoco está claro cómo tratará el gobierno chino a una empresa extranjera que aísle sus datos expuestos a un único ordenador no conectado a la red.
Así que ahora sabemos por qué todo este software impuesto por el gobierno chino funciona tan mal. El software está tan lleno de malware, puertas traseras y protocolos de vigilancia que el funcionamiento normal se ralentiza hasta el punto de hacer inutilizables muchos sistemas. Los que trabajamos en China siempre lo hemos supuesto y ahora el informe de Trustware ofrece un ejemplo concreto.
La cuestión más importante es que esta instalación forzada de programas maliciosos de puerta trasera es un problema constante en China. No se trata sólo de un software de un banco. Como demuestra este caso, el gobierno nacional trabaja con bancos controlados por el gobierno, gobiernos locales, empresas privadas de software/gig data y proveedores de servicios en la nube con sede en China para implantar un sistema que permita el acceso total a toda la información disponible en las redes ubicadas en China.
Tal vez sea posible implementar protecciones contra un único malware, como aconseja Trustware. Pero, en la práctica, es imposible implementar protección contra las medidas constantes y generalizadas que toma el gobierno chino para acceder a los datos privados de las empresas. Hay demasiados puntos de acceso. Por ejemplo, la inspección obligatoria de las redes de las empresas por parte del gobierno permite la instalación de malware de puerta trasera similar como parte del proceso de inspección.
La cuestión no es simplemente el compromiso del sistema basado en China de los inversores extranjeros. Una vez comprometido el sistema chino, el pirata informático (el gobierno chino) casi siempre puede acceder a toda la red internacional vinculada al sistema pirateado. La infección se propaga desde China por todo el mundo. La informatización, el big data y el dominio de todo el espectro son la máxima prioridad del gobierno chino. Si operas dentro de las fronteras de China, no hay lugar donde esconderse. Esto tiene importantes implicaciones para las empresas que operan en China y esta realidad debe evaluarse cuidadosamente.
