Las personas en los niveles más altos de poder en China aprecian la importancia de las capacidades cibernéticas. El CEO de Qihoo 360, la empresa de seguridad cibernética más grande del país, criticó a los investigadores chinos que trabajan fuera del país y les imploró que “se quedaran en China” para darse cuenta del “valor estratégico” de las vulnerabilidades de software poderosas utilizadas en las campañas de espionaje cibernético. En cuestión de meses, su empresa se vinculó a una campaña de piratería informática contra la minoría uigur del país.
Siguió una ola de regulaciones más estrictas, reforzando el control del gobierno sobre el sector de la ciberseguridad y dando prioridad a las agencias de seguridad e inteligencia del estado sobre todo lo demás, incluidas las empresas cuyo software es inseguro.
“Los chinos tienen un sistema único que refleja el modelo autoritario del Estado-partido”, dice Dakota Cary, analista del Centro de Seguridad y Tecnología Emergente de Georgetown.
Los investigadores cibernéticos chinos tienen efectivamente prohibido asistir a eventos y competencias internacionales de piratería, torneos que una vez dominaron. Un concurso de piratería enfrenta a algunos de los mejores investigadores de seguridad del mundo en una carrera para encontrar y explotar poderosas vulnerabilidades en la tecnología más popular del mundo, como iPhones, Teslas o incluso el tipo de interfaces hombre-máquina que ayudan a operar fábricas modernas. Los premios por valor de cientos de miles de dólares incentivan a las personas a identificar fallas de seguridad para que puedan solucionarse.
Ahora, sin embargo, si los investigadores chinos quieren ir a concursos internacionales, requieren aprobación, que rara vez se otorga. Y deben enviar todo a las autoridades gubernamentales de antemano, incluido cualquier conocimiento de las vulnerabilidades de software que podrían estar planeando explotar. Ningún otro país ejerce un control tan estricto sobre una c lase tan amplia y talentosa de investigadores de seguridad.
Este mandato se amplió con reglamento que requiere todas las vulnerabilidades de seguridad del software deben informarse primero al gobierno, lo que brinda a los funcionarios chinos un conocimiento temprano sin precedentes que puede usarse para operaciones de piratería defensivas u ofensivas.
“Toda la investigación de vulnerabilidades pasa por un proceso de acciones en el que el gobierno chino tiene derecho de preferencia”, dice Adam Meyers, vicepresidente senior de inteligencia de la empresa de seguridad cibernética CrowdStrike. “Pueden elegir qué harán con esto, lo que realmente aumenta la visibilidad que tienen sobre la investigación que se está realizando y su capacidad para encontrar utilidad en todo ello”.
Hemos visto una excepción a esta regla: un empleado del gigante chino de computación en la nube Alibaba informó la famosa vulnerabilidad Log4j a los desarrolladores de Apache en lugar de entregarla primero a las autoridades gubernamentales chinas. El resultado fue un público castigo de Alibaba y advertencia implícita para cualquier otra persona que esté pensando en hacer un movimiento similar.
Las políticas más estrictas de China tienen un impacto mucho más allá del propio país.
Durante la última década, el modelo de “recompensa de errores” ha proporcionado millones de dólares para construir un ecosistema global de investigadores que encuentran vulnerabilidades de seguridad de software y se les paga para informarlas. Múltiples empresas estadounidenses albergan mercados en los que cualquier empresa de tecnología puede poner sus propios productos para un examen minucioso a cambio de recompensas para los investigadores.
Según cualquier medida, China se ubica en la cima o cerca de ella en alertar a las empresas estadounidenses sobre las vulnerabilidades en su software. En su testimonio ante el Congreso la semana pasada, Cary dijo que una gran empresa estadounidense no identificada le había revelado que los investigadores chinos recibieron $ 4 millones en 2021. Las empresas estadounidenses se benefician de la participación de estos investigadores chinos. Cuando los investigadores informan de un error, las empresas pueden corregirlo. Ese ha sido el statu quo desde que los programas de recompensas comenzaron a ganar popularidad hace una década.
Sin embargo, a medida que el gobierno chino refuerza el control, este ecosistema multimillonario ahora ofrece un flujo constante de vulnerabilidades de software a las autoridades chinas, financiado de manera efectiva por las empresas y sin costo alguno para Beijing.
“La política de China de que los investigadores deben presentar las vulnerabilidades al Ministerio de Industria y Tecnología de la Información crea una fuente increíblemente valiosa de capacidades de software para el estado”, dice Cary. “La política efectivamente compró al menos $ 4 millones en investigación de forma gratuita”.
Juegos de Hackeo de Robots
En 2016, una poderosa máquina llamada Mayhem ganó el Cyber Grand Challenge, una competencia de seguridad cibernética organizada por la Agencia de Proyectos de Investigación Avanzada de Defensa de EE. UU.
Mayhem, que pertenece a una empresa de Pittsburgh llamada ForAllSecure, ganó al detectar, parchear y explotar automáticamente las vulnerabilidades de seguridad del software. El Pentágono ahora está utilizando la tecnología en todas las ramas militares. Tanto las posibilidades defensivas como las ofensivas fueron inmediatamente obvias para todos los que miraban, incluidos los funcionarios chinos.
DARPA no ha ejecutado un programa similar desde 2016. China, por otro lado, ha puesto en marcha al menos siete “Juegos de Hackeo de Robots” desde 2017, según la investigación de Cary. Los equipos académicos, militares y del sector privado chinos se han visto atraídos a competencias supervisadas por el ejército chino. Los documentos oficiales vinculan el descubrimiento automatizado de vulnerabilidades de software directamente con los objetivos nacionales de China.
Cuando comenzaban los Robot Hacking Games, el CEO de Qihoo 360 dijo que las herramientas automatizadas de descubrimiento de vulnerabilidades eran una “maza asesina” para China.
“Quien domine la tecnología de minería automática de vulnerabilidades tendrá la primera oportunidad de atacar y defender la red”, dijo. Afirmando que su propia empresa había desarrollado “un sistema de minería de vulnerabilidades automático totalmente autónomo”, argumentó que la tecnología es el “‘asesino’ de la seguridad de la red”.
Los Robot Hacking Games son un ejemplo de la forma en que los funcionarios chinos al más alto nivel han podido ver un éxito estadounidense y luego hacerlo suyo de manera inteligente.
“Una y otra vez, China ha estudiado el sistema estadounidense, ha copiado sus mejores atributos y, en muchos casos, ha ampliado el ámbito y el alcance”, dice Cary.
A medida que la rivalidad entre EE. UU. y China continúa funcionando como la relación geopolítica definitoria del siglo XXI, la cibernética jugará un papel muy importante en lo que los líderes de China llaman con razón una “nueva era”. Toca todo, desde la competencia comercial hasta el avance tecnológico e incluso la guerra.
En esa nueva era, el objetivo declarado de Xi es convertir a China en una “superpotencia cibernética”. En cualquier medida, lo ha hecho.