.

MS TECH | TWENTY20

Computación

El ciberespionaje viene de China: instrucciones para ser una superpotencia

1

Tras una década, la cruzada de Xi Jimping para convertir a su país en un gigante del ciberespionaje está dando sus frutos  

  • por Patrick Howell O'Neill | traducido por Ana Milutinovic
  • 13 Abril, 2022

Hace pocos meses se dio a conocer el "malware más avanzado" jamás desarrollado por los hackers vinculados a China. Bautizado como Daxin, esta especie de puerta trasera secreta se ha estado usando en operaciones de espionaje contra distintos gobiernos de todo el mundo durante una década, hasta que ha sido detectada.

Pero este malware recién descubierto no es el único. Se trata de otra señal más de que la cruzada que China mantiene desde hace más de una década para convertirse en una cibersuperpotencia está dando sus frutos. De ser conocidos por realizar operaciones simples de romper y robar, los hackers chinos han pasado a estar entre los mejores del mundo, gracias a una estrategia de control estricto, grandes presupuestos y una infraestructura para proveer de herramientas de hackeo al Gobierno que no se parece a ningún otro modelo en el mundo.

Este cambio ha llevado años y ha estado impulsado desde las altas esferas. Poco después de ascender al poder, el presidente Xi Jinping inició la reorganización de la agencia militar y de inteligencia de China, la cual priorizó la ciberguerra e inició una "fusión" de organizaciones militares y civiles orientada a mejorar las cibercapacidades de la nación.

Como resultado, China se ha dotado durante la última década de herramientas y tácticas crecientemente sofisticadas y ambiciosas. Por ejemplo, los hackers del Gobierno chino han explotado más eficazmente las vulnerabilidades de día cero (debilidades tecnológicas no detectadas antes para las que no existe una defensa conocida) que cualquier otra nación, según el testimonio ante el Congreso de EE UU de Kelli Vanderlee, analista de inteligencia de la empresa de ciberseguridad Mandiant. Una investigación muestra que Beijing explotó seis veces más de estas vulnerabilidades en 2021 que en 2020.

"Las cibercapacidades ofensivas de China rivalizan o superan a las de Estados Unidos, y las defensivas pueden detectar muchas de nuestras operaciones, en algunos casos volviendo nuestras propias herramientas en nuestra contra", afirmó Winnona DeSombre, investigadora del Centro Belfer de la Universidad de Harvard, en un testimonio ante el Congreso norteamericano sobre las posibilidades tecnológicas de China que tuvo lugar el pasado 17 de febrero.

Herramientas más potentes

Daxin es solo la última de las potentes herramientas que se ha vinculado a China a lo largo del último año. Funciona secuestrando las conexiones legítimas para ocultar sus comunicaciones entre el tráfico normal de la red. Como resultado, se mantiene oculto mientras permite que los hackers se comuniquen a través de los ordenadores infectados en redes altamente seguras donde la conectividad directa a internet es imposible. Los investigadores de la empresa de ciberseguridad Symantec que lo descubrieron lo comparan con el malware avanzado que supuestamente utilizan las operaciones de inteligencia occidentales. Ha estado en uso hace poco, al menos en noviembre de 2021.

En febrero del año pasado, una ola masiva de hackeo por parte de varios grupos chinos contra los servidores de Microsoft Exchange mostró la capacidad de Beijing para coordinar una ofensiva de tan gran escala que parecía caótica e insensata para los observadores externos. El ataque comenzó con vulnerabilidades de día cero conocidas como ProxyLogon y dejó la puerta abierta de par en par, para que cualquier hacker pudiera atravesarla, en decenas de miles de servidores de correo electrónico.

En una campaña más discreta descubierta en mayo, varios grupos chinos de hackers utilizaron otra vulnerabilidad de día cero para hackear con éxito distintos objetivos militares, gubernamentales y de la industria tecnológica en Estados Unidos y Europa.

Las personas en la cúspide del poder chino aprecian la importancia de las cibercapacidades. El CEO de la empresa de ciberseguridad más grande del país Qihoo 360, criticó a los investigadores chinos que trabajan fuera del país y les pidió que "se quedaran" para entender el "valor estratégico" de las poderosas vulnerabilidades de software utilizadas en las campañas de ciberespionaje. Pocos meses después, su empresa fue vinculada a una campaña de hackeo contra la minoría uigur del país.

Luego siguió una ola de regulaciones más estrictas, reforzando el control del Gobierno sobre el sector de la ciberseguridad y dando prioridad a las agencias de seguridad e inteligencia del estado sobre todo lo demás, incluidas las empresas cuyo software es inseguro.

"Los chinos tienen un sistema único que refleja el modelo autoritario del Estado-partido", resalta el analista del Centro de Seguridad y Tecnologías Emergentes de la Universidad de Georgetown (EE UU) Dakota Cary.

Los ciberinvestigadores chinos tienen prohibido asistir a eventos y competiciones internacionales de hackeo, en los que antes eran líderes. Un concurso de hackeo enfrenta a algunos de los mejores investigadores de seguridad del mundo en una carrera para encontrar y explotar las vulnerabilidades con más potencial en algunas de las tecnologías más populares, desde un iPhone a un Tesla pasando por las interfaces humano-máquina que utilizan algunas de las fábricas más modernas. Los premios, por valor de cientos de miles de euros, incentivan a estas personas a identificar los fallos de seguridad para que estos puedan solucionarse.

Sin embargo, actualmente si los investigadores chinos quieren ir a concursos internacionales, necesitan una autorización, la cual rara vez se otorga. Deben enviar todo a las autoridades gubernamentales de antemano, incluido cualquier conocimiento de las vulnerabilidades de software que pudieran utilizar. Ningún otro país ejerce un control tan estricto sobre una clase tan amplia y talentosa de investigadores en ciberseguridad.

Estas restricciones se han incrementado con la regulación que exige que todas las vulnerabilidades del software se comuniquen primero al Gobierno, lo que ofrece a las autoridades chinas un conocimiento temprano que se puede utilizar para operaciones de hackeo defensivas u ofensivas.

"Toda la investigación de vulnerabilidades pasa por un proceso de acciones en el que el Gobierno chino tiene derecho de tanteo", señala el vicepresidente senior de inteligencia de la empresa de ciberseguridad CrowdStrike, Adam Meyers. "Pueden decidir qué harán con eso, lo que aumenta su visión sobre la investigación que se está llevando a cabo y su capacidad para encontrar utilidad en ella".

Hubo una excepción en esta regla: un empleado del gigante chino de computación en la nube Alibaba informó sobre la famosa vulnerabilidad Log4j a los desarrolladores de Apache, en vez de avisar primero a las autoridades chinas. El resultado fue un castigo público para Alibaba y una advertencia implícita para cualquier otra persona que pensara en hacer algo similar.

Las políticas más estrictas de China tienen un impacto mucho más allá del propio país.

Durante la última década, el modelo de "recompensa de errores" ha proporcionado millones de euros para construir un ecosistema global de investigadores que encuentran vulnerabilidades de seguridad de software y se les paga para informar sobre ellas. Varias empresas estadounidenses albergan mercados en los que cualquier compañía tecnológica puede poner sus propios productos para examinarlos detalladamente a cambio de recompensas para los investigadores.

De acuerdo a diferentes estimaciones, China se hallaría en la cima o cerca cuanto a estas alertas sobre las vulnerabilidades del software. En su testimonio ante el Congreso norteamericano, Cary reveló que una gran empresa estadounidense no identificada habría pagado 4 millones de dólares (3,6 millones de euros) a investigadores chinos en 2021. Las empresas estadounidenses se benefician de la participación de estos investigadores. Cuando los investigadores informan de un error, las empresas pueden solucionarlo. Ese ha sido el statu quo desde hace una década cuando los programas de recompensas comenzaron a ganar popularidad.

Sin embargo, a medida que el Gobierno chino refuerza el control, este ecosistema multimillonario ahora ofrece un flujo constante de vulnerabilidades de software a las autoridades chinas, financiado además por las empresas, sin coste ninguno para Beijing.

"La política de China de que los investigadores deben presentar las vulnerabilidades al Ministerio de Industria y Tecnología de la Información crea una fuente increíblemente valiosa de capacidades de software para el estado", resalta Cary. "Esa política prácticamente compró de forma gratuita la investigación por un valor de al menos 4 millones de dólares (3,6 millones de euros)".

Juegos de hackeo de robots

En 2016, la poderosa máquina denominada Mayhem ganó la competición de ciberseguridad Cyber Grand Challenge, organizada por la Agencia de Proyectos de Investigación Avanzada de Defensa de EE. UU. (DARPA, por sus siglas en inglés).

Mayhem, que pertenece a la empresa norteamericana ForAllSecure, ganó por haber detectado, parcheado y explotado automáticamente las vulnerabilidades de seguridad del software. El Pentágono utiliza actualmente esta tecnología en todas las ramas militares. Tanto las posibilidades defensivas como las ofensivas fueron inmediatamente obvias para todos, incluidos los funcionarios chinos.

DARPA no ha llevado a cabo un programa similar desde 2016. China, por otro lado, ha organizado al menos siete competiciones de "Juegos de hackeo de robots" desde 2017, según la investigación de Cary. Los equipos académicos, militares y del sector privado chinos se han visto atraídos a estas competiciones supervisadas por el ejército chino. Algunos documentos oficiales vinculan el descubrimiento automatizado de vulnerabilidades de software directamente con los objetivos nacionales de China.

Al principio de los Juegos de hackeo de robots, el CEO de Qihoo 360 resaltó que las herramientas automatizadas de descubrimiento de vulnerabilidades serían como "el mazo de un asesino" para China.

"Quien domine la tecnología de minería automática de vulnerabilidades tendrá la primera oportunidad de atacar y defender la red", aseguró, para precisar que su empresa había desarrollado "un sistema automático de minería de vulnerabilidades totalmente autónomo" que era "lo mejor de la seguridad de la red".

Los Juegos de hackeo de robots son un ejemplo de cómo los funcionarios chinos de alto rango han analizado el éxito estadounidense y luego lo han hecho suyo de manera inteligente.

"Una y otra vez, China ha estudiado el sistema estadounidense, ha copiado sus mejores atributos y, en muchos casos, ha ampliado el ámbito y el alcance", señala Cary.

Mientras que la rivalidad entre EE UU y China se convierte en la relación geopolítica definitoria del siglo XXI, las ciberoperaciones tendrán un papel muy importante en lo que los líderes de China llaman y con razón una "nueva era". Afectan a todo, desde la rivalidad comercial hasta el avance tecnológico e incluso la guerra.

En esa nueva era, el objetivo declarado de Xi era convertir a China en una "cibersuperpotencia". Se mire por donde se mire, ya lo ha conseguido.

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. El ocaso de Pegasus abre una nueva era para el 'software' espía

    Ante la posible caída de NSO Group, muchos rivales quieren ya ocupar su lugar. Los problemas de este sector, sin embargo, siguen presentes

  2. La situación de la ciberseguridad en EE UU es insostenible, pero hay un plan

    La amenaza de los 'hackers' rusos y la excesiva confianza en la cooperación voluntaria del sector privado han provocado que las autoridades por fin estén dispuestas a ponerse más firmes

  3. Los ciberataques de día cero pueden ganar el juego global del espionaje

    Las más valiosas herramientas de hackeo antes pertenecían a los gobiernos, pero ya no es así