FOTO: ALY SONG/REUTERS
La recopilación masiva de información personal por parte del gobierno ayuda al control social pero socava la seguridad nacional, dicen los investigadores de ciberseguridad.
Para proteger los datos sensibles, el gobierno chino ha creado uno de los regímenes de ciberseguridad y protección de datos más estrictos del mundo. A pesar de estos esfuerzos, ha surgido un próspero mercado clandestino transfronterizo en torno al comercio de datos de ciudadanos chinos.
Muchos de esos datos proceden de otro de los grandes proyectos de seguridad del gobierno chino: su extensa red de vigilancia.
A principios de este mes, un usuario anónimo de un popular foro de ciberdelincuencia puso a la venta los datos de unos mil millones de ciudadanos chinos robados a la policía de Shanghai. El robo fue uno de los mayores de la historia e incluía datos especialmente sensibles, como números de identificación del gobierno, antecedentes penales y resúmenes detallados de casos, como denuncias de violaciones y abusos domésticos.
Desde entonces, el Wall Street Journal ha encontrado docenas de bases de datos chinas más que se ofrecen a la venta, y en ocasiones gratuitamente, en foros de ciberdelincuencia en línea y comunidades de Telegram con miles de suscriptores. Cuatro de las cachés robadas contenían datos probablemente extraídos de fuentes gubernamentales, según un análisis del Journal, mientras que otras se anunciaban como si contuvieran datos gubernamentales.
Decenas de miles de bases de datos más en China permanecen expuestas en Internet sin ninguna seguridad, sumando más de 700 terabytes de datos, el mayor volumen de cualquier país, según LeakIX, un servicio que rastrea dichas bases de datos.
El Ministerio de Seguridad Pública, la Administración del Ciberespacio de China y el gobierno de Shanghai no respondieron a las solicitudes de comentarios.
Todos los países luchan por mantener sus datos protegidos. Estados Unidos es el segundo país, después de China, con casi 540 terabytes de datos abiertos en la Internet pública, según el análisis de LeakIX. Sin embargo, China es única por la naturaleza exhaustiva y sensible de sus datos expuestos, una consecuencia de la forma en que centraliza múltiples flujos de información de fuentes gubernamentales y corporativas en plataformas de vigilancia estatales.
Según los expertos en ciberseguridad, la acumulación de tantos datos en un solo lugar aumenta intrínsecamente el riesgo de que salgan a la luz. Una contraseña débil o robada, un intento de suplantación de identidad o un empleado descontento “pueden hacer que todo el sistema se caiga”, dice Vinny Troia, fundador de la empresa de inteligencia de la web oscura Shadowbyte, que escanea la web en busca de bases de datos no seguras.
Según Samm Sacks, uno de los principales expertos en ciberpolítica de China en New America, un centro de estudios de Washington, D.C., esta vulnerabilidad está socavando los esfuerzos de Pekín por evitar que los datos del país sean explotados por agentes malintencionados.
El gobierno chino ha considerado la protección de los datos del país como una prioridad de seguridad nacional desde 2013, cuando el ex contratista de la NSA Edward Snowden reveló que el gobierno de EE.UU. había hackeado la red troncal de Internet china. La revelación sacudió a los altos funcionarios de Pekín, incluido el recién nombrado presidente Xi Jinping, que actuó rápidamente para bloquear el ciberespacio del país, que ya alberga a más de 500 millones de usuarios chinos de Internet.
FOTO: THOMAS PETER/REUTERS
En los años siguientes, a medida que cientos de millones de ciudadanos se conectaban a Internet, las autoridades chinas descubrieron también problemas de seguridad de los datos nacionales. Los intermediarios clandestinos alimentaron un lucrativo comercio de información personal, en gran parte robada de las redes informáticas del gobierno, que alimentó la indignación pública cuando los estafadores telefónicos se aprovecharon de ello para estafar a las víctimas con enormes sumas de dinero.
En 2021, el gobierno chino aprobó una ley de protección de la información personal, inspirada en las normas de la Unión Europea -consideradas las más estrictas del mundo-, que ponía límites estrictos a la recogida y transferencia transfronteriza de datos personales. Se trata de la piedra angular de una elaborada estructura de nuevas normas de protección de datos que también incluye una amplia Ley de Ciberseguridad aprobada en 2017 para impedir que los datos sensibles chinos salgan del país.
Al mismo tiempo, Xi presidió la construcción de un estado de vigilancia digital masiva que combinaba herramientas biométricas, como el reconocimiento facial, con números de identificación y grandes cantidades de datos sobre el comportamiento recogidos por empresas tecnológicas. Estos datos se recogen y analizan cada vez más en plataformas centralizadas, que las autoridades chinas utilizan para detectar, o incluso predecir, acciones que consideran amenazantes para el orden social.
Shanghái fue una de las primeras ciudades en presentar una plataforma de datos totalmente integrada con capacidades de IA en 2019. La plataforma extrae datos de varias funciones gubernamentales, como la seguridad pública, la sanidad pública y el transporte, así como de empresas privadas que ofrecen servicios de entrega urgente y de comida, según una entrevista de los medios estatales con un director del departamento de policía de Shanghái.
“Los datos son como el agua del mar, cuanto más bebemos más sedientos estamos”, dijo Chen Chao, el director de la oficina de tecnología de la Oficina de Seguridad Pública de Shanghái, al describir la necesidad del gobierno de una plataforma de este tipo a los medios estatales en 2018.
Los riesgos de dar rienda suelta a la gran sed de datos del gobierno se pusieron de manifiesto a finales del mes pasado, cuando miles de millones de registros de datos de la policía de Shanghai aparecieron a la venta en un foro de ciberdelincuencia en Internet.
FOTO: QILAI SHEN/BLOOMBERG NEWS
El gobierno y la policía de Shanghai no respondieron a las solicitudes de comentarios.
Este robo ha contribuido a poner de relieve la gran cantidad de datos chinos que se ofrecen a la venta en una red informal de foros y canales de la aplicación de chat Telegram.
Pocos días después de que el usuario empezara a vender la base de datos robada a la policía de Shangai por el equivalente a 200.000 dólares, empezaron a aparecer en toda la red anuncios sobre la totalidad o parte de los datos de diversas formas. Mientras tanto, surgieron otros mensajes en el foro original que ofrecían datos similares a precios más bajos.
Uno de ellos, que anunciaba la misma base de datos, ponía el precio en 100.000 dólares. Otro, de un usuario que afirmaba ser un agente de policía de la provincia central china de Henan, inspirado en el robo de Shangai, ofrecía la información personal de 90 millones de personas por un bitcoin, es decir, unos 20.000 dólares.
Un tercer mensaje promocionaba unos supuestos nueve millones de registros del Centro de Control de Enfermedades de China por 2.000 dólares. Unos días más tarde, apareció un cuarto que vendía 40.000 registros de nombres de ciudadanos chinos, números de teléfono, direcciones y números de identificación del gobierno por 500 dólares.
Un análisis realizado por el Journal de las muestras de datos proporcionadas en cada publicación reveló que probablemente procedían de fuentes de datos distintas y que contenían varias entradas auténticas. Al igual que la filtración de la policía de Shanghái, muchas hicieron metástasis a través de los canales de Telegram, uno de los cuales ofrecía aún más ofertas de datos de bancos, empresas de reparto y oficinas de seguridad pública, como números de identificación de ciudadanos, registros de registro de hogares, cuentas de prestaciones sociales, información de contacto e incluso registros de reconocimiento facial.
La policía de Henan y el CDC de China no respondieron a las solicitudes de comentarios.
El mercado clandestino también reveló las innumerables formas en que se roban los datos chinos.
La base de datos de Shanghái, por ejemplo, estaba conectada a un tablero de control en línea que se dejó abierto en la Internet pública sin contraseña durante más de un año, según los expertos en ciberseguridad que dicen que esa vulnerabilidad es común.
Los vendedores de dos de los alijos de datos recopilados por el Estado analizados por el Journal dijeron que adquirieron sus datos de empleados de empresas y del gobierno. Los empleados del Estado son especialmente fáciles de encontrar a través de las listas oficiales del gobierno y fáciles de sobornar, dijo un vendedor, que opera en Telegram con un nombre que significa “veneno” en chino.
“Sus sueldos mensuales no son más que una cantidad de dinero”, dijo el vendedor. “Si nos dan una sola base de datos, tendrán suficientes ingresos para varios años”.
El reto de China se ve agravado porque sus normas de seguridad de datos son nuevas y se aplican de forma desigual, especialmente cuando se trata de limitar las actividades del propio gobierno, según los observadores de la política tecnológica china.
Pero tener tantos datos a la venta en Internet es exactamente el tipo de amenaza a la seguridad nacional que el gobierno esperaba evitar, dicen.
Las bases de datos de vigilancia del gobierno incluyen intrínsecamente información sensible que permite a los agentes de inteligencia extranjeros conocer los puntos de presión de una persona o las vulnerabilidades del país, dijo Adam Segal, director del programa de Política Digital y Cibernética del Consejo de Relaciones Exteriores.
El gobierno chino no ha comentado públicamente la filtración de Shanghai, y las referencias a la misma en las redes sociales chinas están siendo eliminadas.
Días después de que atrajera la atención internacional, las autoridades de Shanghái anunciaron una revisión de la ciberseguridad de sitios web y plataformas clave pertenecientes a organismos gubernamentales, empresas estatales, grandes firmas tecnológicas y otras entidades.
Aunque el robo de los datos de la policía de Shanghai debería servir de llamada de atención a los dirigentes chinos, dijo la Sra. Sacks de New America, es poco probable que dejen de elegir las normas que se aplican a sí mismos.
“¿Por qué iba a restringir el gobierno su propia capacidad de recopilar datos?
Por: Karen Hao
