Made in China

Hace unos días aparecía en prensa que el gobierno de los EEUU de Norteamérica está trabajando, dentro de su política global contra el ciberespionaje, en una reglamentación para la restricción de adquisición de equipamiento informático procedente de China en el ámbito de la administración pública. Si tenemos en cuenta las cifras económicas que en la noticia se citan (>10800M €) para dar idea de la magnitud del volumen de importación de productos tecnológicos procedentes de China, la cosa no es para andarse con bromas. Podrán decirme que este tipo de restricciones y regulaciones afectan al libre mercado y a la libre competencia y que pueden tener una naturaleza no exclusivamente relacionada con la seguridad, pero cuando los riesgos son tan evidentes y estamos hablando de seguridad nacional, pues qué quieren que les diga.

Piensen por ejemplo en qué porcentaje de las memorias USB que utilizamos cotidianamente proviene del gigante asiático. En una conversación de café hace no mucho comentaba con unos compañeros que era una manera muy sencilla de introducir malware en domicilios particulares o en una empresa. De hecho, diseñando una operación con objetivos claros podía ser relativamente sencillo infectar partidas de estos dispositivos con el malware adecuado e integrarlo en las diferentes fases iniciales de avanzadilla de una operación más compleja de intrusión en una organización. Y no hace falta permitir que el lado paranoico se apodere de nuestro cerebro para empezar a pensar en el interés que este tipo de actividades puede tener en el fértil campo del espionaje industrial y la ciberguerra.

Esta situación me recuerda mucho a la situación que se produjo en los Estados Unidos cuando, tras los atentados del 11-S en Nueva York, descubrieron atónitos que la gran mayoría de la mercancía que entraba en su país lo hacía por vía marítima, y que sólo el contenido del 2% de los contenedores que llegaban a sus puertos era registrado e inspeccionado. Cambien ahora ustedes contenedores por USBs, portátiles, o servidores y tendrán una idea aproximada de la magnitud del problema. Con la diferencia, claro está, que los mecanismos de prevención y control son en este caso algo más complejos.

Comments

  1. Pues aunque los riesgos puedan ser evidentes, la realidad es que los fabricantes chinos ya están aquí. En nuestras casa, nuestros móviles y en la infraestructura de red de todos los operadores de telecomunicaciones europeos, particularmente operadores de telefonía móvil, como muestra: http://www.huawei.com/en/about-huawei/newsroom/resources/europe/

    No entiendo que los riesgos sean tan evidentes, en el sentido en que la existencia formal de actividades dedicadas a ciberguerra y al espionaje industrial organizado impliquen directamente que un fabricante de una compañía del mismo país, cuya facturación procede mayoritariamente de la exportación, utilice a su vez maliciosamente sus productos para desarrollar actividades criminales. Veo mas estas noticias en el marco de la guerra comercial que está desatada entre los fabricantes de tecnología occidentales y los que vienen apretándoles el negocio.

  2. Personalmente, estoy bastante de acuerdo con Rafa.

    Sin negar que exista, creo que la preocupación por el ciberespionaje está siendo utilizada como excusa para imponer limitaciones al libre comercio y a la importación de productos desde China.

  3. Fernando Seco says

    Totalmente de acuerdo, y seguro que hay muchos grupos de presión y lobbys empresariales norteamericanos empujando fuerte para defender sus intereses de negocio aprovechando la situación. Pero en mi modesta opinión veo también comprensible que haya un nivel de preocupación elevado por el hecho de que un gran porcentaje del equipamiento tecnológico que da soporte a infraestructuras críticas de todo tipo, a administraciones públicas, a empresas privadas, a directivos, o a políticos de los USA está fabricado en un país que ya ha demostrado fehacientemente que da gran protagonismo a la vía de la ciberguerra como una más de las herramientas que tiene a su alcance.
    Es como una gran grieta que «conecta directamente» a los chinos con el centro neurálgico de su gran rival occidental en el terreno de la industria y la tecnología. Añadidle un toque de rivalidad política, otro de intereses económicos, y hay material para una gran novela de ciberespionaje internacional que no distaría mucho de la realidad.

  4. Muy buenas tardes a todos,

    Ya sabéis que cuando oigo China me pitan los oidos, así que aporto mi granito de arena al artículo :)

    El problema principal es que las grandes empresas de telecomunicaciones chinas (Huawei, ZTE, Datang) son SOE (State Owned Enterprises), es decir, empresas cuyo propietario es el gobierno.

    Si encima luego te enteras de cosas como que la presidenta de Huawei antes trabajó para el MSS (Ministry of State Security, el servicio de espionaje exterior chino, digamos el equivalente a la CIA/MI6)[1] … pues es normal que se desconfíe de su neutralidad real, y más todavía en temas de seguridad nacional.

    De hecho la noticia no es que EEUU esté restringiendo la compra de equipamiento de redes de Huawei y ZTE, porque ya lo lleva haciendo desde hace un tiempo (en más de una ocasión el Congreso ha bloqueado concursos gubernamentales en los que Huawei se presentaba tirando precios). El informe encargado por el congreso en [2] lo deja bien clarito: Nada de estas empresas en sistemas gubernamentales.

    Lo que he ido leyendo es que hay expertos que demandan que estas empresas sean prohibidas … con efectos retroactivos (es decir, que se eliminen esos equipamientos allí donde se entienda que pueden ser perniciosos).

    Estoy de acuerdo con Rafa, Manuel y Fernando en que hay un factor político importante y los lobby están susurrando «compra Cisco, no compres cosas chinas que son chungas». Lo más gracioso es que a día de hoy … casi todo se fabrica en China.

    Las empresas de semiconductores más grandes tienen fábrica en China [3, pag.83] (Intel, Motorola, Texas Instruments). Y mi pregunta es: ¿quién vigila que esos chips estén correctamente diseñados?. ¿Tan difícil es meter un backdoor en el firmware de una tarjeta de red o una controladora RAID?.

    ZTE ya confirmó hace un tiempo un backdoor en varios de sus modelos de teléfonos móviles [4], y yo siempre me he preguntado si, como el cuento de Monterrosso, «cuando despertó, el dinosauro todavía estaba ahí» (es decir, si fue un fallo o un «fallo»).

    Una cosa para preocuparse y mucho en el futuro es la seguridad de la cadena de suministro (supply chain security), ya que puede afectar tanto a la seguridad tradicional como a la de infraestructuras críticas.

    Como ejemplo, el GCHQ (el equivalente inglés a la NSA) ya trabaja con Huawei y otros fabricantes para analizar con detalle y aprobar equipos específicos antes de dejarlos entrar en concursos [5].

    A lo mejor aquí la gente del CCN debería hacer alguna cosa parecida … o al menos, compartir información con otros países sobre qué dispositivos son o no seguros.

    Un saludo,

    Antonio Sanz
    CISA,CISM,CHFI
    I3A/Universidad de Zaragoza

    [1] Huawei and Chinese Government facts
    http://jeffreycarr.blogspot.com.es/2011/10/here-are-facts-about-huawei-and-chinese.html

    [2] Informe sobre ZTE y Huawei
    http://intelligence.house.gov/sites/intelligence.house.gov/files/documents/Huawei-ZTE%20Investigative%20Report%20%28FINAL%29.pdf

    [3] USCC Report Chinese Capabilities for Computer Network Operations and CyberEspionage
    http://www.uscc.gov/RFP/2012/USCC%20Report_Chinese_CapabilitiesforComputer_NetworkOperationsandCyberEspionage.pdf

    [4]ZTE Confirms Backdoor Vulnerability in Android Devices
    http://www.infosecisland.com/blogview/21396-ZTE-Confirms-Backdoor-Vulnerability-in-Android-Devices.html

    [5] Huawei / GCHQ collaboration
    http://www.h-online.com/security/news/item/Report-Huawei-working-with-GCHQ-to-quell-espionage-fears-1661205.html

  5. Antonio, tus comentarios son más que dignos de ser entradas autónomas. Reitero mi invitación :)

  6. Sería interesante ver de qué forma un equipo de red wan chino podría funcionar «para el enemigo», tpo atrás se descubrió un fabricante gringo de fpgas que traía un módulo de espionaje integrado entre las cientos de miles de puertas programables, y era «de los buenos»

Trackbacks

  1. […] "CRITEO-300×250", 300, 250); 1 meneos   Made in China http://www.securityartwork.es/2013/04/04/made-in-china/  por ite_ite hace nada Hace unos días […]