De hecho, los investigadores descubrieron que algunas empresas parecen estar optando por esa segunda opción. Señalan un documento de julio de 2022 publicado en la cuenta de una organización de investigación del Ministerio de Industria y Tecnologías de la Información en el servicio de redes sociales en idioma chino WeChat. El documento publicado enumera a los miembros del programa de intercambio de información sobre vulnerabilidades que «aprobaron el examen», lo que posiblemente indica que las empresas que cotizan en bolsa cumplieron con la ley. La lista, que se centra en empresas de tecnología de sistemas de control industrial (o ICS), incluye seis empresas no chinas: Beckhoff, D-Link, KUKA, Omron, Phoenix Contact y Schneider Electric.
WIRED preguntó a las seis empresas si realmente cumplen con la ley y comparten información sobre vulnerabilidades no parcheadas en sus productos con el gobierno chino. Sólo dos, D-Link y Phoenix Contact, negaron rotundamente haber proporcionado información sobre vulnerabilidades no parcheadas a las autoridades chinas, aunque la mayoría de los demás sostuvieron que sólo ofrecieron información sobre vulnerabilidades relativamente inocua al gobierno chino y lo hicieron al mismo tiempo que proporcionaban esa información. a los gobiernos de otros países o a sus propios clientes.
Los autores del informe del Atlantic Council admiten que es poco probable que las empresas incluidas en la lista del Ministerio de Industria y Tecnología de la Información entreguen información detallada sobre vulnerabilidades que pueda ser utilizada inmediatamente por los piratas informáticos estatales chinos. Codificar un «exploit» confiable, una herramienta de software de piratería que aprovecha una vulnerabilidad de seguridad, es a veces un proceso largo y difícil, y la información sobre la vulnerabilidad exigida por la ley china no es necesariamente lo suficientemente detallada como para construir inmediatamente dicho exploit.
Pero el texto de la ley exige (de manera algo vaga) que las empresas proporcionen el nombre, el número de modelo y la versión del producto afectado, así como las “características técnicas, la amenaza, el alcance del impacto, etc.” de la vulnerabilidad. Cuando los autores del informe del Atlantic Council obtuvieron acceso al portal en línea para informar fallas pirateables, descubrieron que incluye un campo de entrada obligatorio para obtener detalles sobre en qué parte del código «desencadenar» la vulnerabilidad o un video que demuestra «prueba detallada de la vulnerabilidad». proceso de descubrimiento”, así como un campo de entrada no obligatorio para cargar un exploit de prueba de concepto para demostrar la falla. Todo eso es mucha más información sobre vulnerabilidades no parcheadas de la que normalmente exigen otros gobiernos o que las empresas generalmente comparten con sus clientes.
Incluso sin esos detalles o una prueba de concepto de exploit, una mera descripción de un error con el nivel requerido de especificidad proporcionaría una «pista» para los hackers ofensivos de China en su búsqueda de nuevas vulnerabilidades para explotar, dice Kristin Del Rosso, la Director de tecnología del sector público de la empresa de ciberseguridad Sophos, coautor del informe del Atlantic Council. Ella sostiene que la ley podría proporcionar a esos piratas informáticos patrocinados por el estado una ventaja significativa en su carrera contra los esfuerzos de las empresas por parchear y defender sus sistemas. “Es como un mapa que dice: ‘Mira aquí y empieza a cavar’”, dice Del Rosso. «Tenemos que estar preparados para la posible utilización de estas vulnerabilidades como armas».
Si la ley de China de hecho está ayudando a los piratas informáticos patrocinados por el Estado del país a obtener un mayor arsenal de fallos pirateables, podría tener graves implicaciones geopolíticas. Las tensiones entre Estados Unidos y China por el ciberespionaje del país y los aparentes preparativos para un ciberataque disruptivo han alcanzado su punto máximo en los últimos meses. En julio, por ejemplo, la Agencia de Seguridad Cibernética y de la Información (CISA) y Microsoft revelaron que los piratas informáticos chinos habían obtenido de alguna manera una clave criptográfica que permitía a los espías chinos acceder a las cuentas de correo electrónico de 25 organizaciones, incluidos el Departamento de Estado y el Departamento de Comercio. Microsoft, CISA y la NSA advirtieron también sobre una campaña de piratería de origen chino que plantó malware en las redes eléctricas de los estados de EE.UU. y Guam, tal vez para obtener la capacidad de cortar el suministro eléctrico a las bases militares de EE.UU.