Por ley, las empresas en China -incluidas las extranjeras- están obligadas a informar inmediatamente a una agencia gubernamental sobre vulnerabilidades en los sistemas y errores en los códigos. Sin embargo, los expertos advierten que China utiliza piratas informáticos controlados por el Estado y podría utilizar la información sobre las vulnerabilidades para obtener un acceso casi sin obstáculos a los sistemas de las empresas.
El grupo de expertos Atlantic Council ha publicado un informe que analiza la nueva regulación china que exige que las empresas informen sobre vulnerabilidades de seguridad y errores en el código al Ministerio de Industria y Tecnología de la Información (MIIT) del gobierno en un plazo de 48 horas. Al mismo tiempo, los expertos advierten que China controla varios grupos de hackers y puede utilizar inmediatamente la información para realizar ataques. Por lo tanto, el informe se titula “Cómo China está convirtiendo en armas las vulnerabilidades del software”. En el análisis, los expertos del grupo de expertos incluso suponen que la fuente constante actual de vulnerabilidades de día cero se remonta a la base de datos china del MIIT.
¿Muchas nuevas vulnerabilidades de día cero en la base de datos MIIT?
Las normas chinas prohíben a los investigadores publicar información sobre vulnerabilidades antes de que esté disponible un parche, a menos que se coordinen con el propietario del producto y el MIIT. Tampoco se permite publicar código de prueba de concepto que muestre cómo se explota una vulnerabilidad.
Según el informe, la divulgación de la vulnerabilidad a la Oficina de Beijing de la 13.ª Oficina del MSS es particularmente preocupante. Los expertos señalan que la oficina ha pasado los últimos veinte años obteniendo acceso temprano a las vulnerabilidades del software.
Casi no se comparten las vulnerabilidades de ICS
Desde mayo de 2021, ha habido una disminución casi completa de las vulnerabilidades de ICS informadas públicamente en China, según la base de datos CNVD (Imagen: Sleight of Hand, Cary y Del Rosso, Atlantic Council).
El informe también encontró que muchas vulnerabilidades reportadas en el área ICS (Sistema de Control Industrial) ya no se comunican a las empresas afectadas. Las bases de datos estatales chinas casi no han mostrado vulnerabilidades en el área ICS desde mayo de 2021. Antes de eso, había entre 40 y 80 o más vulnerabilidades cada mes. En mayo de 2021, de repente están entre 1 y 10. En comparación, el CISA de EE. UU. sigue teniendo informes ICS mensuales de más de 100 vulnerabilidades.
Los expertos señalan que es posible que muchas empresas extranjeras ni siquiera sepan que sus empleados chinos están informando de las vulnerabilidades. Después de todo, podrían ser castigados si eluden la ley china.
Más información en AtlanticCouncil.org