China adopta unas maliciosas normas de “ciberseguridad”

La completa visibilidad de Pekín en las redes de las empresas extranjeras tendrá consecuencias sumamente perjudiciales. (Foto: Wikimedia Commons)

El 1 de enero, entra en vigor la Ley de Criptografía de China. Esta legislación sigue a la implementación el 1 de diciembre del Esquema de Protección Multinivel 2.0, emitido al amparo de la Ley de Ciberseguridad de 2016.

En conjunto, estas medidas demuestran la absoluta determinación de Pekín de confiscar a las empresas extranjeras todas sus comunicaciones, sus datos y otra información almacenada en formato electrónico en China.

El presidente Trump debería usar sus poderes de emergencia para prohibir a las empresas estadounidenses cumplir las nuevas normas o almacenar datos en China.

Después de que todas estas normas de “ciberseguridad” estén vigentes, ninguna empresa extranjera podrá encriptar los datos para evitar que pueda leerlos el Gobierno central chino y el Partido Comunista de China. Con otras palabras, las empresas tendrán que entregar sus claves de cifrado.

A las empresas también se les prohibirá emplear redes privadas virtuales para mantener los datos en secreto, y algunos creen que ya no podrán usar servidores privados.

El sistema de Pekín, una vez implementado, será tan invasivo que las autoridades chinas ya no necesitarán pedirles a las empresas extranjeras que entreguen los datos. Los funcionarios chinos podrán simplemente tomar esos datos por su cuenta.

“Una vez que los datos cruzan la frontera china en una red —escribe Steve Dickinson en el China Law Blog—, el 100% de los datos estarán íntegramente a disposición del Gobierno chino y el PCC.”

La completa visibilidad de Pekín en las redes de las empresas extranjeras tendrá consecuencias sumamente perjudiciales, señala Dickinson. Primero, la ley china permitirá a los funcionarios chinos compartir la información confiscada con las empresas estatales. Esto significa que las empresas estatales podrán usar esa información contra sus competidores extranjeros.

Segundo, las nuevas normas de China, casi seguramente, harán que las empresas extranjeras pierdan la protección del secreto comercial en todo el mundo. Un secreto comercial pierde su estatus como tal cuando se divulga ampliamente. Una vez que una empresa permite que ese secreto entre en su red china, la empresa debe saber que Pekín lo sabrá. “Puesto que ninguna empresa puede razonablemente asumir que sus secretos comerciales seguirán siendo secretos una vez sean transmitidos a China por una red de control chino, corren el gran riesgo de que también se evapore la protección de sus secretos comerciales fuera de China”, escribe Dickinson.

Tercero, el programa de ciberseguridad de China expone a las empresas a sanciones por vulnerar las leyes estadounidenses de exportación de tecnología. Las empresas han asumido que la tecnología cubierta por las prohibiciones de exportación estadounidenses no se “exporta” si se mantiene en una red china protegida por el cifrado de extremo a extremo, es decir, que no esté a disposición de las autoridades chinas. Como a las empresas ya no se les permitirá encriptar los datos de extremo a extremo, es casi seguro que se considerará que vulneran las normas estadounidenses respecto a la tecnología almacenada en una red de China.

No todos los analistas están alarmados por las medidas chinas del 1 de diciembre. James Andrew Lewis, por ejemplo, sostiene que las nuevas normas de Pekín son un “esfuerzo legítimo” de proteger las redes en China. Además, argumenta que los chinos no necesitan el Esquema de Protección Multinivel 2.0 para obtener información, porque pueden robar toda la que quieran con sus grupos avanzados de hackers APT (amenaza persistente avanzada, por sus siglas en inglés). “Su intención no es utilizarla con fines maliciosos”, arguye Lewis, refiriéndose a los funcionarios chinos.

Se desconoce cómo Lewis, un experto en tecnología del Center for Strategic and International Studies, de Washington, puede saber cuál es la intención de los funcionarios chinos. Además, decir que esa intención es benigna parece ingenuo —ridículo, incluso—, cuando ese país está robando cientos de miles de millones de dólares de propiedad intelectual estadounidense cada año, y cuando el dirigente chino Xi Jinping prosigue sus decididos ataques contra las empresas extranjeras. En estas circunstancias, hemos de asumir que los funcionarios chinos están actuando con intenciones malignas.

Lewis también restan importancia a la cuestión básica de que los ciberespías de China, una vez que tengas las claves de cifrado y acceso a la red china de una firma extranjera, estarán en mejor posición para penetrar las redes de esa firma fuera de China. Por lo tanto, será sólo cuestión de tiempo que Pekín robe datos y saque a las empresas del mercado o las arruine hasta el punto de que entidades chinas puedan abalanzarse y comprarlas baratas. Muchos alegan que China robó datos a Nortel Networks, de Canadá, y que así la llevó a la bancarrota hace casi una década. La empresa quedó, según el Financial Post, hackeada hasta dejarla hecha pedazos”.

Por último, Lewis, del CSIS, no reconoce que las normas de Pekín del 1 de diciembre legitiman en general la regulación de China y su función de custodio de la información, es decir, el robo de China.

El senador Josh Hawley es, con razón, más suspicaz respecto a las intenciones de Pekín. En noviembre, el republicano de Misuri presentó un proyecto de ley, la Ley de Protección de Datos y Seguridad Nacional de 2019, que prohíbe a las empresas estadounidenses almacenar los datos de usuario o las claves de cifrado en China. Por supuesto, las empresas tecnológicas que hacen negocios en ese país están en contra de este proyecto de ley.

Sin embargo, hay quienes, con un trazo de pluma, pueden implementar el proyecto de ley de Hawley. El presidente Donald John Trump puede usar sus amplios poderes al amparo de la Ley de los Poderes Económicos de la Emergencia Internacional de 1977 para prohibir a las empresas que acaten las perniciosas nuevas normas o almacenen sus datos en China.

La lógica de esa orden presidencial tan radical es que al pueblo estadounidense le interesa que China no se haga con el control de las empresas estadounidenses que operan allí, una probable consecuencia de la aplicación de las medidas del 1 de diciembre y el 1 de enero.

Esa orden de emergencia obligaría efectivamente a las empresas estadounidenses a salir de China, así que este paso sería drástico. Sin embargo, es China, con su captura de datos increíblemente ambiciosa, la que está forzando esa cuestión.

El pueblo estadounidense tiene un interés vital en la protección de los datos estadounidenses. Trump debería emitir dicha orden de inmediato.

Gordon G. Chang – Gatestone Institute