China refuerza el control sobre la ciberseguridad en la represión de datos
Los expertos en tecnología en China que encuentren una debilidad en la seguridad informática deberían informar al gobierno y no podrían vender ese conocimiento bajo reglas que endurecen aún más el control del Partido Comunista sobre la información.
Las reglas prohibirían a los expertos del sector privado que encuentren “día cero” o debilidades de seguridad previamente desconocidas, y venderán la información a la policía, agencias de espionaje o empresas. Tales vulnerabilidades han sido una característica de los principales ataques de piratería informática, incluido uno este mes atribuido a un grupo vinculado a Rusia que infectó a miles de empresas en al menos 17 países.
Beijing es cada vez más sensible al control de la información sobre su gente y su economía. Las empresas tienen prohibido almacenar datos sobre clientes chinos fuera de China. Se ha advertido públicamente a las empresas, incluido el servicio de transporte compartido Didi Global Inc., que recientemente hizo su debut en la bolsa de valores de EE.
Según las nuevas reglas, cualquier persona en China que encuentre una vulnerabilidad debe informar al gobierno, que decidirá qué reparaciones hacer. No se puede dar información a “organizaciones o individuos en el extranjero” que no sean el fabricante del producto.
Nadie puede “recopilar, vender o publicar información sobre las vulnerabilidades de seguridad de los productos de red”, dicen las reglas emitidas por la Administración del Ciberespacio de China y los ministerios de policía e industria. Entran en vigor el 1 de septiembre.
El ala militar del partido gobernante, el Ejército Popular de Liberación, es líder junto con Estados Unidos y Rusia en tecnología de guerra cibernética. Los fiscales estadounidenses han acusado a agentes del EPL de piratear empresas estadounidenses para robar tecnología y secretos comerciales.
Los consultores que encuentran debilidades de “día cero” dicen que su trabajo es legítimo porque sirven a la policía o agencias de inteligencia. Algunos han sido acusados de ayudar a gobiernos acusados de abusos contra los derechos humanos o de grupos que espían a activistas.
No hay indicios de que estos investigadores del sector privado trabajen en China, pero la decisión de prohibir el campo sugiere que Beijing lo ve como una amenaza potencial.
China ha reforzado constantemente el control sobre la seguridad de la información y las computadoras durante las últimas dos décadas.
Los bancos y otras entidades que se consideren sensibles deben utilizar solo productos de seguridad fabricados en China siempre que sea posible. Los proveedores extranjeros que venden enrutadores y algunos otros productos de red en China deben revelar a los reguladores cómo funcionan las funciones de cifrado.
