Pero este malware recién descubierto no es el único. Se trata de otra señal más de que la cruzada que China mantiene desde hace más de una década para convertirse en una cibersuperpotencia está dando sus frutos. De ser conocidos por realizar operaciones simples de romper y robar, los hackers chinos han pasado a estar entre los mejores del mundo, gracias a una estrategia de control estricto, grandes presupuestos y una infraestructura para proveer de herramientas de hackeo al Gobie o que no se parece a ningún otro modelo en el mundo.
nEste cambio ha llevado años y ha estado impulsado desde las altas esferas. Poco después de ascender al poder, el presidente Xi Jinping inició la reorganización de la agencia militar y de inteligencia de China, la cual priorizó la ciberguerra e inició una "fusión" de organizaciones militares y civiles orientada a mejorar las cibercapacidades de la nación.
nComo resultado, China se ha dotado durante la última década de herramientas y tácticas crecientemente sofisticadas y ambiciosas. Por ejemplo, los hackers del Gobie o chino han explotado más eficazmente las vulnerabilidades de día cero (debilidades tecnológicas no detectadas antes para las que no existe una defensa conocida) que cualquier otra nación, según el testimonio ante el Congreso de EE UU de Kelli Vanderlee, analista de inteligencia de la empresa de ciberseguridad Mandiant. Una investigación muestra que Beijing explotó seis veces más de estas vulnerabilidades en 2021 que en 2020.
n"Las cibercapacidades ofensivas de China rivalizan o superan a las de Estados Unidos, y las defensivas pueden detectar muchas de nuestras operaciones, en algunos casos volviendo nuestras propias herramientas en nuestra contra", afirmó Winnona DeSombre, investigadora del Centro Belfer de la Universidad de Harvard, en un testimonio ante el Congreso norteamericano sobre las posibilidades tecnológicas de China que tuvo lugar el pasado 17 de febrero.
nHerramientas más potentes
nDaxin es solo la última de las potentes herramientas que se ha vinculado a China a lo largo del último año. Funciona secuestrando las conexiones legítimas para ocultar sus comunicaciones entre el tráfico normal de la red. Como resultado, se mantiene oculto mientras permite que los hackers se comuniquen a través de los ordenadores infectados en redes altamente seguras donde la conectividad directa a inte et es imposible. Los investigadores de la empresa de ciberseguridad Symantec que lo descubrieron lo comparan con el malware avanzado que supuestamente utilizan las operaciones de inteligencia occidentales. Ha estado en uso hace poco, al menos en noviembre de 2021.
nEn febrero del año pasado, una ola masiva de hackeo por parte de varios grupos chinos contra los servidores de Microsoft Exchange mostró la capacidad de Beijing para coordinar una ofensiva de tan gran escala que parecía caótica e insensata para los observadores exte os. El ataque comenzó con vulnerabilidades de día cero conocidas como ProxyLogon y dejó la puerta abierta de par en par, para que cualquier hacker pudiera atravesarla, en decenas de miles de servidores de correo electrónico.
nEn una campaña más discreta descubierta en mayo, varios grupos chinos de hackers utilizaron otra vulnerabilidad de día cero para hackear con éxito distintos objetivos militares, gube amentales y de la industria tecnológica en Estados Unidos y Europa.
nLas personas en la cúspide del poder chino aprecian la importancia de las cibercapacidades. El CEO de la empresa de ciberseguridad más grande del país Qihoo 360, criticó a los investigadores chinos que trabajan fuera del país y les pidió que "se quedaran" para entender el "valor estratégico" de las poderosas vulnerabilidades de software utilizadas en las campañas de ciberespionaje. Pocos meses después, su empresa fue vinculada a una campaña de hackeo contra la minoría uigur del país.
nLuego siguió una ola de regulaciones más estrictas, reforzando el control del Gobie o sobre el sector de la ciberseguridad y dando prioridad a las agencias de seguridad e inteligencia del estado sobre todo lo demás, incluidas las empresas cuyo software es inseguro.
n"Los chinos tienen un sistema único que refleja el modelo autoritario del Estado-partido", resalta el analista del Centro de Seguridad y Tecnologías Emergentes de la Universidad de Georgetown (EE UU) Dakota Cary.
nLos ciberinvestigadores chinos tienen prohibido asistir a eventos y competiciones inte acionales de hackeo, en los que antes eran líderes. Un concurso de hackeo enfrenta a algunos de los mejores investigadores de seguridad del mundo en una carrera para encontrar y explotar las vulnerabilidades con más potencial en algunas de las tecnologías más populares, desde un iPhone a un Tesla pasando por las interfaces humano-máquina que utilizan algunas de las fábricas más mode as. Los premios, por valor de cientos de miles de euros, incentivan a estas personas a identificar los fallos de seguridad para que estos puedan solucionarse.
nSin embargo, actualmente si los investigadores chinos quieren ir a concursos inte acionales, necesitan una autorización, la cual rara vez se otorga. Deben enviar todo a las autoridades gube amentales de antemano, incluido cualquier conocimiento de las vulnerabilidades de software que pudieran utilizar. Ningún otro país ejerce un control tan estricto sobre una clase tan amplia y talentosa de investigadores en ciberseguridad.
nEstas restricciones se han incrementado con la regulación que exige que todas las vulnerabilidades del software se comuniquen primero al Gobie o, lo que ofrece a las autoridades chinas un conocimiento temprano que se puede utilizar para operaciones de hackeo defensivas u ofensivas.
n"Toda la investigación de vulnerabilidades pasa por un proceso de acciones en el que el Gobie o chino tiene derecho de tanteo", señala el vicepresidente senior de inteligencia de la empresa de ciberseguridad CrowdStrike, Adam Meyers. "Pueden decidir qué harán con eso, lo que aumenta su visión sobre la investigación que se está llevando a cabo y su capacidad para encontrar utilidad en ella".
nHubo una excepción en esta regla: un empleado del gigante chino de computación en la nube Alibaba informó sobre la famosa vulnerabilidad Log4j a los desarrolladores de Apache, en vez de avisar primero a las autoridades chinas. El resultado fue un castigo público para Alibaba y una advertencia implícita para cualquier otra persona que pensara en hacer algo similar.
nLas políticas más estrictas de China tienen un impacto mucho más allá del propio país.
nDurante la última década, el modelo de "recompensa de errores" ha proporcionado millones de euros para construir un ecosistema global de investigadores que encuentran vulnerabilidades de seguridad de software y se les paga para informar sobre ellas. Varias empresas estadounidenses albergan mercados en los que cualquier compañía tecnológica puede poner sus propios productos para examinarlos detalladamente a cambio de recompensas para los investigadores.
nDe acuerdo a diferentes estimaciones, China se hallaría en la cima o cerca cuanto a estas alertas sobre las vulnerabilidades del software. En su testimonio ante el Congreso norteamericano, Cary reveló que una gran empresa estadounidense no identificada habría pagado 4 millones de dólares (3,6 millones de euros) a investigadores chinos en 2021. Las empresas estadounidenses se benefician de la participación de estos investigadores. Cuando los investigadores informan de un error, las empresas pueden solucionarlo. Ese ha sido el statu quo desde hace una década cuando los programas de recompensas comenzaron a ganar popularidad.
nSin embargo, a medida que el Gobie o chino refuerza el control, este ecosistema multimillonario ahora ofrece un flujo constante de vulnerabilidades de software a las autoridades chinas, financiado además por las empresas, sin coste ninguno para Beijing.
n"La política de China de que los investigadores deben presentar las vulnerabilidades al Ministerio de Industria y Tecnología de la Información crea una fuente increíblemente valiosa de capacidades de software para el estado", resalta Cary. "Esa política prácticamente compró de forma gratuita la investigación por un valor de al menos 4 millones de dólares (3,6 millones de euros)".
nJuegos de hackeo de robots
nEn 2016, la poderosa máquina denominada Mayhem ganó la competición de ciberseguridad Cyber Grand Challenge, organizada por la Agencia de Proyectos de Investigación Avanzada de Defensa de EE. UU. (DARPA, por sus siglas en inglés).
nMayhem, que pertenece a la empresa norteamericana ForAllSecure, ganó por haber detectado, parcheado y explotado automáticamente las vulnerabilidades de seguridad del software. El Pentágono utiliza actualmente esta tecnología en todas las ramas militares. Tanto las posibilidades defensivas como las ofensivas fueron inmediatamente obvias para todos, incluidos los funcionarios chinos.
nDARPA no ha llevado a cabo un programa similar desde 2016. China, por otro lado, ha organizado al menos siete competiciones de "Juegos de hackeo de robots" desde 2017, según la investigación de Cary. Los equipos académicos, militares y del sector privado chinos se han visto atraídos a estas competiciones supervisadas por el ejército chino. Algunos documentos oficiales vinculan el descubrimiento automatizado de vulnerabilidades de software directamente con los objetivos nacionales de China.
nAl principio de los Juegos de hackeo de robots, el CEO de Qihoo 360 resaltó que las herramientas automatizadas de descubrimiento de vulnerabilidades serían como "el mazo de un asesino" para China.
n"Quien domine la tecnología de minería automática de vulnerabilidades tendrá la primera oportunidad de atacar y defender la red", aseguró, para precisar que su empresa había desarrollado "un sistema automático de minería de vulnerabilidades totalmente autónomo" que era "lo mejor de la seguridad de la red".
nLos Juegos de hackeo de robots son un ejemplo de cómo los funcionarios chinos de alto rango han analizado el éxito estadounidense y luego lo han hecho suyo de manera inteligente.
n"Una y otra vez, China ha estudiado el sistema estadounidense, ha copiado sus mejores atributos y, en muchos casos, ha ampliado el ámbito y el alcance", señala Cary.
nMientras que la rivalidad entre EE UU y China se convierte en la relación geopolítica definitoria del siglo XXI, las ciberoperaciones tendrán un papel muy importante en lo que los líderes de China llaman y con razón una "nueva era". Afectan a todo, desde la rivalidad comercial hasta el avance tecnológico e incluso la guerra.
nEn esa nueva era, el objetivo declarado de Xi era convertir a China en una "cibersuperpotencia". Se mire por donde se mire, ya lo ha conseguido.
n