Nueva ley de seguridad de datos de Beijing supone un riesgo para las empresas extranjeras: analistas

Análisis de noticias

Las empresas extranjeras en China están ahora obligadas a informar las vulnerabilidades de la red a las autoridades en virtud de una nueva ley de seguridad de datos. Los analistas dicen que esto ayudará a los hackers que trabajan para el Partido Comunista Chino (PCCh) a realizar ciberataques en beneficio del régimen.

La ley se puso en práctica oficialmente el 1 de septiembre, con el objetivo de vigilar los datos de los principales sectores. Según el artículo 29 de la ley, las empresas internacionales dentro de China deben informar inmediatamente de sus incidentes de seguridad de datos tanto a las autoridades como a los usuarios una vez que ellos los han identificado.

Ese mismo día entró en vigor una ley china sobre la gestión de las vulnerabilidades de seguridad de los productos de red. La normativa exige a los proveedores de servicios que informen de los detalles a las autoridades en un plazo de dos días, mientras que a las organizaciones y personas extranjeras se les prohíbe el acceso a la información.

Los analistas afirman que se trata de una manera en que el PCCh convierte las cibervulnerabilidades en armas.

Vulnerabilidades de día cero como armas

Los fallos del sistema que los desarrolladores desconocen se denominan vulnerabilidades de día cero. Wang Donglin, antiguo director técnico de una empresa china de Internet, describió cómo se pueden explotar ese tipo de vulnerabilidades.

«Dada la naturaleza despótica del régimen comunista chino, lo más probable es que convierta esas vulnerabilidades en armas para atacar a otras naciones una vez que caigan en sus manos», declaró Wang a The Epoch Times.

Existen fallos de ciberseguridad en numerosas empresas u organizaciones. Las vulnerabilidades de día cero no descubiertas pueden ser utilizadas por los hackers para lucrarse. En China, se denomina «industria clandestina», según Wang.

Con la ley de seguridad de datos que obliga a informar de las vulnerabilidades al PCCh, incluidas la vulnerabilidades del día zero, la obtención de recursos podría ser una «obviedad» para los hackers del PCCh, dijo Wang. El objetivo más probable en la posible primera oleada de ciberataques sería un gran número de hosts de servicios en la nube, añadió.

Puma Shen, profesor adjunto de la Escuela de Criminología de la Universidad Nacional de Taipei, dijo a The Epoch Times que los riesgos no disminuirían con la aplicaciónde la ley.

«El régimen encontró una buena excusa para sus acciones, en nombre de la protección de la ciberseguridad y de la privacidad», dijo Shen. «Pero un gobierno no tiene capacidad para resolver las vulnerabilidades».

Por lo general, las empresas no están obligadas a informar oficialmente de los ataques, a menos que sean proveedores de servicios para los gobiernos. Con tales recursos disponibles, el Departamento de Seguridad Pública del PCCh podría lanzar ciberataques efectivos con la ayuda de sus hackers, dijo Shen.

El observador de Internet Gu He dijo que el PCCh está utilizando la nueva ley para hacer legal la recopilación de información de empresas nacionales y extranjeras.

«En otros países, la vulnerabilidad de día cero es gestionada por las propias empresas, no por los poderes del Estado», dijo Gu, cuestionando cómo podría gestionarlas un gobierno, o qué derecho tiene a intervenir en la libertad de las empresas.

Los más interesados en estas vulnerabilidades no son otros que los piratas informáticos de todo el mundo, señaló Gu, que también dijo que los hackers podrían utilizar estas vulnerabilidades para obtener beneficios. Para el PCCh, su objetivo es diferente: es robar secretos.

Gu cree que la nueva ley puede tener un gran impacto en las empresas transnacionales de China.

Con información de Luo Ya y Li Yun

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí