Las personas en los niveles más altos de poder en China aprecian la importancia de las habilidades cibernéticas. El CEO de Qihoo 360, la compañía de ciberseguridad más grande del país, criticó a los investigadores chinos que trabajan fuera del país y les imploró que «se queden en China» para reconocer el «valor estratégico» de las poderosas vulnerabilidades de software encontradas en las campañas de ciberespionaje. En cuestión de meses, su empresa se vinculó a una campaña de piratería informática dirigida a la minoría uigur del país.

Siguió una ola de regulaciones más estrictas, aumentando el control del gobierno sobre el sector de la ciberseguridad y dando prioridad a las agencias de seguridad e inteligencia del estado sobre todo lo demás, incluidas aquellas empresas cuyo software no es seguro.

“Los chinos tienen un sistema único que refleja el modelo autoritario del Estado-partido”, dice Dakota Cary, analista del Centro de Seguridad y Tecnología Emergente en Georgetown.

A los investigadores cibernéticos chinos se les prohíbe prácticamente participar en eventos y competencias internacionales de piratería, torneos que una vez dominaron. En una competencia de piratería, algunos de los principales investigadores de seguridad del mundo compiten para encontrar y explotar poderosas vulnerabilidades en las tecnologías más populares del mundo, como iPhones, Teslas o incluso el tipo de interfaces hombre-máquina que ayudan a operar las fábricas modernas. Cientos de miles de dólares en premios son un incentivo para identificar las vulnerabilidades de seguridad para que puedan solucionarse.

Pero si los investigadores chinos quieren participar en competencias internacionales, necesitan permiso, que rara vez se otorga. Y deben proporcionar todo a las agencias gubernamentales de antemano, incluido cualquier conocimiento de las vulnerabilidades de software que puedan intentar explotar. Ningún otro país ejerce un control tan estricto sobre una clase tan grande y talentosa de investigadores de seguridad.

Ese mandato se amplió con una ordenanza que exige que todas las vulnerabilidades de software se informen primero al gobierno, lo que brinda a los funcionarios chinos un conocimiento temprano sin precedentes que se puede utilizar para operaciones de piratería defensivas u ofensivas.

«Toda la investigación de vulnerabilidades pasa por un proceso de stock, lo que le da al gobierno chino la primera opción», dijo Adam Meyers, vicepresidente senior de inteligencia de la firma de seguridad cibernética CrowdStrike. «Pueden elegir lo que hacen con él, lo que realmente aumenta la visibilidad de la investigación que se está realizando y su capacidad para aprovecharlo todo».

Vimos una excepción a esta regla: un empleado del gigante chino de computación en la nube Alibaba informó la famosa vulnerabilidad Log4j a los desarrolladores de Apache en lugar de implementarla primero en las agencias gubernamentales chinas. El resultado fue un castigo público por parte de Alibaba y una advertencia implícita a cualquier otra persona que estuviera considerando un movimiento similar.

Las políticas más duras de China están teniendo un impacto mucho más allá del país.

Durante la última década, el modelo de «recompensa de errores» ha asignado millones de dólares para construir un ecosistema global de investigadores que encuentran vulnerabilidades en el software y se les paga para informarlas. Varias empresas estadounidenses albergan mercados en los que cualquier empresa de tecnología puede ofrecer sus propios productos a cambio de recompensas para que los investigadores los analicen.

En cualquier medida, China se ubica en la cima o cerca de ella cuando se trata de advertir a las empresas estadounidenses sobre las vulnerabilidades en su software. En su testimonio ante el Congreso la semana pasada, Cary dijo que una importante empresa estadounidense no identificada le dijo que los investigadores chinos habían recibido 4 millones de dólares en 2021. Las empresas estadounidenses se benefician de la participación de estos investigadores chinos. Cuando los investigadores informan de un error, las empresas pueden corregirlo. Este ha sido el status quo desde que los programas de recompensas aumentaron en popularidad hace una década.

Sin embargo, a medida que el gobierno chino intensifica el escrutinio, este ecosistema multimillonario ahora proporciona un flujo constante de vulnerabilidades de software a las autoridades chinas, financiado de manera efectiva por las empresas y sin costo alguno para Beijing.

«La política de China de exigir a los investigadores que presenten vulnerabilidades al Ministerio de Industria y Tecnología de la Información crea una fuente increíblemente valiosa de capacidades de software para el estado», dice Cary. «Los políticos compraron al menos 4 millones de dólares en investigación de forma gratuita».

Juegos de Hackeo de Robots

En 2016, una poderosa máquina llamada Mayhem ganó el Cyber ​​​​Grand Challenge, una competencia de seguridad cibernética de la Agencia de Proyectos de Investigación Avanzada de Defensa de EE. UU.

Mayhem, propiedad de una empresa de Pittsburgh llamada ForAllSecure, ganó al detectar, parchear y explotar automáticamente las vulnerabilidades del software. El Pentágono ahora está utilizando la tecnología en todas las ramas militares. Tanto las posibilidades defensivas como las ofensivas fueron evidentes de inmediato para todos los espectadores, incluidos los oficiales chinos.

DARPA no ha llevado a cabo un programa similar desde 2016. China, por otro lado, ha organizado al menos siete competencias de juegos de piratería de robots desde 2017, según la investigación de Cary. Los equipos académicos, militares y del sector privado chinos se han visto atraídos a competencias supervisadas por el ejército chino. Los documentos oficiales vinculan directamente la detección automatizada de vulnerabilidades de software con los objetivos nacionales de China.

Cuando comenzaron los juegos de piratería de robots, el director ejecutivo de Qihoo 360 dijo que las herramientas automatizadas de detección de vulnerabilidades eran un «club de asesinos» para China.

“Quien domine la tecnología de minería automática de vulnerabilidades tendrá la primera oportunidad de atacar y defender la red”, dijo. Afirmó que su propia empresa había desarrollado «un sistema de minería de vulnerabilidades automático totalmente autónomo» y argumentó que la tecnología era el «asesino» de la seguridad de la red.

Los juegos de piratería de robots son un ejemplo de cómo los funcionarios chinos en los niveles más altos pueden ver un éxito estadounidense y luego astutamente hacerlo suyo.

“China ha estudiado el sistema estadounidense una y otra vez, copiando sus mejores atributos y, en muchos casos, ampliando su ámbito y alcance”, dice Cary.

A medida que la rivalidad entre EE. UU. y China continúa funcionando como la relación geopolítica definitoria del siglo XXI, la cibernética desempeñará un papel descomunal en lo que los líderes de China llaman con razón la «nueva era». Toca todo, desde la competencia comercial hasta los avances tecnológicos y la guerra.

En esta nueva era, el objetivo declarado de Xi es convertir a China en una «superpotencia cibernética». De todos modos, lo hizo.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí