\n<\/p>\n
De hecho, los investigadores descubrieron que algunas empresas parecen estar optando por esa segunda opci\u00f3n. Se\u00f1alan un documento de julio de 2022 publicado en la cuenta de una organizaci\u00f3n de investigaci\u00f3n del Ministerio de Industria y Tecnolog\u00edas de la Informaci\u00f3n en el servicio de redes sociales en idioma chino WeChat. El documento publicado enumera a los miembros del programa de intercambio de informaci\u00f3n sobre vulnerabilidades que \u00abaprobaron el examen\u00bb, lo que posiblemente indica que las empresas que cotizan en bolsa cumplieron con la ley. La lista, que se centra en empresas de tecnolog\u00eda de sistemas de control industrial (o ICS), incluye seis empresas no chinas: Beckhoff, D-Link, KUKA, Omron, Phoenix Contact y Schneider Electric.<\/p>\n
WIRED pregunt\u00f3 a las seis empresas si realmente cumplen con la ley y comparten informaci\u00f3n sobre vulnerabilidades no parcheadas en sus productos con el gobierno chino. S\u00f3lo dos, D-Link y Phoenix Contact, negaron rotundamente haber proporcionado informaci\u00f3n sobre vulnerabilidades no parcheadas a las autoridades chinas, aunque la mayor\u00eda de los dem\u00e1s sostuvieron que s\u00f3lo ofrecieron informaci\u00f3n sobre vulnerabilidades relativamente inocua al gobierno chino y lo hicieron al mismo tiempo que proporcionaban esa informaci\u00f3n. a los gobiernos de otros pa\u00edses o a sus propios clientes.<\/p>\n
Los autores del informe del Atlantic Council admiten que es poco probable que las empresas incluidas en la lista del Ministerio de Industria y Tecnolog\u00eda de la Informaci\u00f3n entreguen informaci\u00f3n detallada sobre vulnerabilidades que pueda ser utilizada inmediatamente por los piratas inform\u00e1ticos estatales chinos. Codificar un \u00abexploit\u00bb confiable, una herramienta de software de pirater\u00eda que aprovecha una vulnerabilidad de seguridad, es a veces un proceso largo y dif\u00edcil, y la informaci\u00f3n sobre la vulnerabilidad exigida por la ley china no es necesariamente lo suficientemente detallada como para construir inmediatamente dicho exploit.<\/p>\n
Pero el texto de la ley exige (de manera algo vaga) que las empresas proporcionen el nombre, el n\u00famero de modelo y la versi\u00f3n del producto afectado, as\u00ed como las \u201ccaracter\u00edsticas t\u00e9cnicas, la amenaza, el alcance del impacto, etc.\u201d de la vulnerabilidad. Cuando los autores del informe del Atlantic Council obtuvieron acceso al portal en l\u00ednea para informar fallas pirateables, descubrieron que incluye un campo de entrada obligatorio para obtener detalles sobre en qu\u00e9 parte del c\u00f3digo \u00abdesencadenar\u00bb la vulnerabilidad o un video que demuestra \u00abprueba detallada de la vulnerabilidad\u00bb. proceso de descubrimiento\u201d, as\u00ed como un campo de entrada no obligatorio para cargar un exploit de prueba de concepto para demostrar la falla. Todo eso es mucha m\u00e1s informaci\u00f3n sobre vulnerabilidades no parcheadas de la que normalmente exigen otros gobiernos o que las empresas generalmente comparten con sus clientes.<\/p>\n
Incluso sin esos detalles o una prueba de concepto de exploit, una mera descripci\u00f3n de un error con el nivel requerido de especificidad proporcionar\u00eda una \u00abpista\u00bb para los hackers ofensivos de China en su b\u00fasqueda de nuevas vulnerabilidades para explotar, dice Kristin Del Rosso, la Director de tecnolog\u00eda del sector p\u00fablico de la empresa de ciberseguridad Sophos, coautor del informe del Atlantic Council. Ella sostiene que la ley podr\u00eda proporcionar a esos piratas inform\u00e1ticos patrocinados por el estado una ventaja significativa en su carrera contra los esfuerzos de las empresas por parchear y defender sus sistemas. \u201cEs como un mapa que dice: ‘Mira aqu\u00ed y empieza a cavar’\u201d, dice Del Rosso. \u00abTenemos que estar preparados para la posible utilizaci\u00f3n de estas vulnerabilidades como armas\u00bb.<\/p>\n
Si la ley de China de hecho est\u00e1 ayudando a los piratas inform\u00e1ticos patrocinados por el Estado del pa\u00eds a obtener un mayor arsenal de fallos pirateables, podr\u00eda tener graves implicaciones geopol\u00edticas. Las tensiones entre Estados Unidos y China por el ciberespionaje del pa\u00eds y los aparentes preparativos para un ciberataque disruptivo han alcanzado su punto m\u00e1ximo en los \u00faltimos meses. En julio, por ejemplo, la Agencia de Seguridad Cibern\u00e9tica y de la Informaci\u00f3n (CISA) y Microsoft revelaron que los piratas inform\u00e1ticos chinos hab\u00edan obtenido de alguna manera una clave criptogr\u00e1fica que permit\u00eda a los esp\u00edas chinos acceder a las cuentas de correo electr\u00f3nico de 25 organizaciones, incluidos el Departamento de Estado y el Departamento de Comercio. Microsoft, CISA y la NSA advirtieron tambi\u00e9n sobre una campa\u00f1a de pirater\u00eda de origen chino que plant\u00f3 malware en las redes el\u00e9ctricas de los estados de EE.UU. y Guam, tal vez para obtener la capacidad de cortar el suministro el\u00e9ctrico a las bases militares de EE.UU.<\/p>\n<\/div>\n