China incrementa el control sobre la represión de datos
Los expertos en tecnología en China que detecten cualquier debilidad en la red de seguridad informática nacional estarán obligados a informar al gobierno en virtud de las nuevas reglas de juego que están llamadas a endurecer todavía más el control que ejerce el Partido Comunista sobre la información.
Beijing es cada vez más sensible al control de la información sobre su población y su economía. Tanto es así que las empresas tienen prohibido expresamente almacenar datos sobre clientes chinos fuera de la propia China. Este renovado interés en el refuerzo de la ciberseguridad también se desprende de las advertencias públicas a las empresas nacionales para que endurezcan la seguridad de los datos, especialmente en aquellos supuestos en los que cotizan en mercados extranjeros.
Según la nueva normativa, cualquier persona en China que detecte una vulnerabilidad debe informar al gobierno, que decidirá acerca de las medidas pertinentes para subsanarla. Se prohíbe expresamente facilitar dicha información acerca de las brechas de seguridad identificadas “a organizaciones o individuos en el extranjero”.
Así mismo queda prohibido “recopilar, vender o publicar información sobre las vulnerabilidades de seguridad de los productos de red”, dice la nueva regulación emitida por la Administración del Ciberespacio de China y los ministerios de policía e industria, que entrará en vigor el próximo 1 de septiembre.
Actualmente China lidera junto con Estados Unidos y Rusia el sector de la tecnología aplicada a la guerra cibernética. En esta situación no resulta infrecuente encontrar casos en los que fiscales estadounidenses acusan a agentes del Ejército Popular de Liberación (EPL) de piratear empresas estadounidenses para robar tecnología y secretos comerciales.
Por su parte, estos “consultores” que emplean sus conocimientos para detectar tales vulnerabilidades sostienen que su trabajo es legítimo en la medida en que sirven a la policía o agencias de inteligencia. No obstante, algunos de estos hackers han sido acusados de colaborar con gobiernos a los que se les atribuyen abusos contra los derechos humanos o con determinados grupos dedicados al espionaje.
Aunque por el momento no existen indicios de que estos investigadores del sector privado trabajen en China, la decisión de prohibir este tipo de actividades sugiere que Beijing los considera una amenaza potencial. En las últimas dos décadas China ha reforzado constantemente el control sobre la seguridad de la información y en estos momentos se encuentra inmersa en la creación de un Centro Nacional de Ciberseguridad.
La ambición China por convertirse en una «potencia cibernética» no es ningún secreto. Precisamente uno de los instrumentos en los que China ha depositado sus esperanzas de lograr dicho objetivo se encuentra en el extenso campus de 40 km 2 que acogerá el Centro Nacional de Ciberseguridad. Formalmente denominada como Base Nacional de Talento e Innovación en Ciberseguridad, la NCC se está construyendo en Wuhan.
El campus, que China comenzó a construir en 2017 y que todavía se encuentra en fase de desarrollo, incluye siete centros de investigación, generación de talento y emprendimiento; dos laboratorios gubernamentales; y una Escuela Nacional de Ciberseguridad. El NCC cuenta con el apoyo de los más altos niveles del Partido Comunista Chino (PCCh) y la Comisión de Asuntos del Ciberespacio estableció un comité para supervisar las operaciones y políticas del NCC, estableciendo de ese modo una línea directa con Beijing.
La competencia internacional ha alimentado el compromiso de China a la hora de incrementar sus capacidades cibernéticas. A pesar de un déficit de 1,4 millones de profesionales de la ciberseguridad, China es ya una potencia cibernética que prácticamente iguala a EE.UU en muchos aspectos. A pesar de ello, el actual déficit en materia de personal cualificado sitúa a las empresas y al conjunto de la infraestructura China en una situación de vulnerabilidad frente a los ataques, al tiempo que dispersa su capacidad ofensiva. En este sentido, el NCC está llamado a reforzar las capacidades chinas, al tiempo que propicia un encarnizamiento de la competencia en el dominio cibernético todavía más feroz.
El camino de China para convertirse en una «potencia cibernética» no está libre de obstáculos y los expertos han identificado tres aspectos que las fuerzas armadas chinas deben abordar para construir una fuerza cibernética efectiva: talento, innovación e independencia tecnológica. Es probable que estos desafíos cibernéticos específicos se extiendan al servicio de inteligencia civil de China, el Ministerio de Seguridad del Estado y su agencia de seguridad interna, así como también al Ministerio de Seguridad Pública.
En primer lugar, el ejército de China enfrenta una escasez de operadores cibernéticos. Este déficit de profesionales en ciberseguridad pesa especialmente sobre la capacidad de las fuerzas armadas para reclutar candidatos cualificados. De ahí que al menos dos de los 10 elementos que componen el NCC apuntan directamente a la generación del talento en este sector. La “misión principal” del NCC, en forma de Escuela Nacional de Ciberseguridad, se nutrirá con la primera promoción de 1.300 estudiantes que se graduarán previsiblemente en 2022. China estima que podría llegar a contar con 2.500 graduados cada año, aunque por el momento no está claro el tiempo que llevaría alcanzar la plena capacidad.
El Centro de Pruebas y Cultivo de Talentos, el segundo componente centrado en esta carencia, ofrecerá cursos y certificaciones para profesionales de la ciberseguridad en las etapas inicial y media, con capacidad para enseñar a seis mil candidatos cada mes, los que se traduciría en más de setenta mil en un año, una vez alcance plena capacidad. Combinando los resultados de ambos elementos hablaríamos de quinientos mil profesionales en tan solo una década.
En segundo lugar, la estructura destinada a la innovación en el ámbito cibernético no cuenta con capacidad para cumplir con sus objetivos estratégicos. Para suplir esta carencia tres de los 10 componentes del NCC apoyan directamente la innovación. Tanto los estudiantes como las empresas emergentes podrán solicitar orientación empresarial y fondos de inversión. El aparato gubernamental también recibirá apoyo en este ámbito con dos laboratorios de investigación: el Combined Cybersecurity Research Institute y el Offense-Defense Lab.
En tercer lugar, China tiene como objetivo reducir su dependencia de la tecnología cibernética extranjera. Las filtraciones de Snowden reforzaron las preocupaciones del EPL de que la tecnología extranjera facilita el espionaje. Los documentos filtrados revelaron una cooperación estrecha entre el gobierno de los EE.UU y determinadas empresas tecnológicas. No sorprende por tanto que China desee reemplazar todo el software extranjero para proteger su infraestructura militar y crítica de la interferencia externa. Esto también permitiría a China incrementar su capacidad ofensiva en la medida en que el uso del mismo software expone a las redes chinas a un contraataque siguiendo las mismas pautas empleadas para atacar a otros.
El PCCh tiene grandes expectativas para el NCC, y los legisladores y las empresas están haciendo las inversiones necesarias para alcanzar el éxito. Pero las perspectivas del impacto del NCC en las capacidades cibernéticas de China son desiguales. Mientras que la generación de talento parece asegurada, la innovación es voluble y nada garantiza el desarrollo de nuevas tecnologías. No obstante, los competidores de China harían bien en estar preparados para responder a estos eventuales avances en materia de ciberseguridad.