Desde TikTok hasta los enrutadores de Huawei y los drones DJI, las crecientes tensiones entre China y los EE. UU. han hecho que los estadounidenses, y el gobierno de los EE. UU., desconfíen cada vez más de las tecnologías de propiedad china. Pero gracias a la complejidad de la cadena de suministro de hardware, los chips de encriptación vendidos por la subsidiaria de una empresa señalada específicamente en las advertencias del Departamento de Comercio de EE. UU. por sus vínculos con el ejército chino han llegado al hardware de almacenamiento de las redes militares y de inteligencia. a través del Oeste.
En julio de 2021, la Oficina de Industria y Seguridad del Departamento de Comercio agregó al fabricante de chips de cifrado con sede en Hangzhou, China, Hualan Microelectronics, también conocido como Sage Microelectronics, a su llamada “Lista de entidades”, una lista de restricciones comerciales vagamente nombrada que destaca empresas “que actúan en contra de los intereses de la política exterior de los Estados Unidos”. Específicamente, la oficina señaló que Hualan había sido agregado a la lista por “adquirir y… intentar adquirir artículos de origen estadounidense en apoyo de la modernización militar para [China’s] Ejército Popular de Liberación”.
Sin embargo, casi dos años después, Hualan, y en particular su subsidiaria conocida como Initio, una compañía originalmente con sede en Taiwán que adquirió en 2016, todavía suministra chips de microcontroladores de encriptación a fabricantes occidentales de discos duros encriptados, incluidos varios que figuran como clientes en sus sitios web Agencias aeroespaciales, militares y de inteligencia de los gobiernos occidentales: NASA, OTAN y los ejércitos de EE. UU. y el Reino Unido. Los registros de adquisiciones federales muestran que las agencias del gobierno de los EE. UU., desde la Administración Federal de Aviación hasta la Administración de Control de Drogas y la Marina de los EE. UU., han comprado discos duros encriptados que también usan los chips.
La desconexión entre las advertencias del Departamento de Comercio y los clientes del gobierno occidental significa que los chips vendidos por la subsidiaria de Hualan terminaron en lo profundo de las redes de información occidentales sensibles, tal vez debido a la ambigüedad de su marca Initio y su origen taiwanés antes de 2016. La propiedad china del proveedor de chips ha generado temores entre los investigadores de seguridad y los analistas de seguridad nacional centrados en China de que podrían tener una puerta trasera oculta que permitiría al gobierno de China descifrar sigilosamente los secretos de las agencias occidentales. Y aunque no se ha encontrado tal puerta trasera, los investigadores de seguridad advierten que si existiera, sería prácticamente imposible detectarla.
“Si una empresa está en la Lista de Entidades con una advertencia específica como esta, es porque el gobierno de EE. UU. dice que esta empresa está apoyando activamente el desarrollo militar de otro país”, dice Dakota Cary, investigadora especializada en China del Atlantic Council, una Grupo de expertos con sede en Washington, DC. “Está diciendo que no deberías comprarles, no solo porque el dinero que estás gastando va a una empresa que usará esos ingresos para promover los objetivos militares de otro país, sino porque no puedes confiar en el producto”.
Técnicamente, la Lista de Entidades es una lista de “control de exportación”, dice Emily Weinstein, investigadora del Centro de Seguridad y Tecnología Emergente de la Universidad de Georgetown. Eso significa que las organizaciones estadounidenses tienen prohibido exportar componentes. a empresas de la lista, en lugar de importar componentes de a ellos. Pero Cary, Weinstein y el Departamento de Comercio señalan que a menudo se usa como una advertencia de facto a los clientes estadounidenses para que tampoco compren de una empresa extranjera que cotiza en bolsa. Tanto la empresa de redes Huawei como el fabricante de drones DJI se han agregado a la lista, por ejemplo, por sus supuestos vínculos con el ejército chino. “Se usa un poco como una lista negra”, dice Weinstein. “La lista de entidades debería ser una alerta roja o amarilla para cualquier persona en el gobierno de los EE. UU. que esté trabajando con esta empresa para que revise esto”.
Cuando WIRED se comunicó con la Oficina de Industria y Seguridad del Departamento de Comercio, un vocero respondió que el BIS está restringido por ley a comentar con la prensa sobre empresas específicas y que la subsidiaria no cotizada de una empresa, como Initio, no está técnicamente afectada por la Entidad. Restricciones legales de la lista. Pero el portavoz agregó que “como cuestión general, la afiliación a un partido de Entidad Listada debe considerarse una ‘bandera roja'”.