Los equipos de China solían dominar las competiciones internacionales de hacking, hasta que Beijing les ordenó dejar de asistir y participar sólo en torneos nacionales.
En el podcast Big Take Asia de hoy, el presentador K. Oanh Ha habla con Jamie Tarabay de Bloomberg sobre cómo los torneos están ayudando a impulsar las capacidades de espionaje cibernético de China y lo que eso significa para el mundo.
A continuación se muestra una transcripción ligeramente editada de la conversación:
Dustin Childs: Bien, empecemos. ¿Listos?
Participante de Pwn2Own: ¡Sí señor!
Niños: Cinco, cuatro, tres, dos, uno.
Participante de Pwn2Own: ¡Buena suerte, chicos!
K. Oanh Ha: Mientras el presidente Trump se preparaba para asumir el cargo a principios de este año, y la batalla por el dominio cibernético entre China y Estados Unidos se avecinaba, en Tokio se estaba desarrollando una de las competencias de piratería informática mundial más prestigiosas.
Childs: Están trabajando a destajo y ahora mismo están intentando aprovecharse del fallo…
Ha: Llamada Pwn2Own, la competencia ha atraído a algunos de los mejores hackers del mundo (o como a la industria le gusta llamarlos: investigadores).
Una competición de hackers se parece exactamente a lo que se ve en las películas: un grupo de personas reunidas alrededor de una computadora, todos mirando fijamente la pantalla mientras el hacker principal escribe comandos furiosamente en un teclado.
El objetivo de estos torneos de hacking es encontrar vulnerabilidades o vulnerabilidades en el software de dispositivos reales, para que las empresas puedan corregirlas antes de que sean explotadas por delincuentes. Por ejemplo, los investigadores buscarían fallos y errores en, por ejemplo, Google Chrome o el Apple Watch. Los equipos que encuentren las vulnerabilidades ganarán un premio en efectivo y compartirán con las empresas tecnológicas cómo hackearon los sistemas.
En el torneo Pwn2Own de enero, la competencia fue patrocinada por Tesla. Los equipos tuvieron que descubrir las debilidades de su cargador de pared.
Participante de Pwn2Own: (aplausos, grito de victoria)
Childs: Y creo que eso es un éxito…
Ha: El mejor equipo de hackers es coronado como “Master of Pwn”. Es un título que los organizadores de la competencia comenzaron a otorgar a los mejores hackers en 2016. Ese primer año, ganó un equipo afiliado a China. En 2017, hackers chinos volvieron a ser Master of Pwn. Pero al año siguiente, 2018, no hubo hackers chinos en Pwn2Own. De hecho, desde entonces, prácticamente no ha habido hackers de China continental en ningún hackatón internacional del mundo.
Jamie Tarabay: En 2018, los investigadores chinos dejaron de viajar para competir en competiciones internacionales de hacking. Quienes deseaban hacerlo debían obtener un permiso especial del gobierno chino.
Ha: Ese es el reportero de Bloomberg, Jamie Tarabay, quien cubre la seguridad nacional en Washington DC.
Tarabay: Como no querían que esta gente fuera al extranjero a competir, crearon competiciones nacionales de piratería informática para garantizar que esas vulnerabilidades siguieran siendo descubiertas, pero permanecieran dentro de China.
Ha: Las restricciones de viaje y competencia impuestas a los piratas informáticos chinos tenían como objetivo construir lo que Jamie llama un ejército cibernético.
Tarabay: China empezó a invertir seriamente en la población cibernética de su país. Invirtió en tecnología, en talento, y se convirtió en un objetivo muy concreto para el régimen. Porque en las guerras venideras, el ejército cibernético chino será una parte muy importante de su arsenal.
Ha: Es un arsenal formidable que China podría desplegar, a medida que las tensiones entre Washington y Beijing continúan aumentando, en todo, desde el comercio hasta las tierras raras y la seguridad nacional.
Tarabay: Podría ser algo que el gobierno chino podría aprovechar. Todos saben que tienen la capacidad de manipular el suministro de agua en Estados Unidos. ¿Lo harían ahora debido a los aranceles?
Ha: Este es el Big Take Asia de Bloomberg News. Soy Oanh Ha. Cada semana, te llevamos al interior de algunas de las economías más grandes y poderosas del mundo, así como a los mercados, magnates y empresas que impulsan esta región en constante evolución.
Hoy en el programa: El ejército de hackers de China. ¿Cómo impulsan las competiciones de hackers chinas su creciente red de cibersoldados? ¿Y qué está en juego para Estados Unidos y el resto del mundo si su conocimiento se queda en China?
Ha: A los hackers chinos les llevó un tiempo involucrarse en competencias internacionales de hacking como Pwn2Own, pero una vez que lo hicieron, los equipos chinos de universidades y compañías tecnológicas rápidamente se convirtieron en una fuerza a tener en cuenta.
Tarabay: Los chinos se comprometieron de una forma que otros equipos no. Cuando un equipo occidental participaba en Pwn2Own o en una de estas competiciones de hacking, sus equipos eran de tres a cinco, o de cinco a siete como máximo. Los chinos enviaban de 20 a 30 personas a cada equipo. Y hacían que la gente pasara un año entero, meses y meses, investigando todos los diferentes concursos, todos los desafíos. Se convirtió en una verdadera competición de demostrarles a todos lo buenos que somos, y eso fue exactamente lo que hicieron.
Ha: Durante un breve periodo, los equipos chinos dominaron, pero sus logros en el extranjero pronto atrajeron la atención de la crítica nacional. En 2017, Zhou Hongyi, fundador de la empresa china de ciberseguridad Qihoo 360, criticó públicamente la participación china en hackatones internacionales.
Tarabay: El multimillonario fundador dijo: “No creo que nuestra gente deba ir a competir en estos concursos internacionales y que todos vean las vulnerabilidades que descubren. No deberíamos compartir estos tesoros con el resto del mundo. Deberían quedarse en China para que los usemos. Y solo nosotros podamos tener ese conocimiento”.
Ha: A partir de 2018, se prohibió a los equipos chinos participar en hackatones internacionales. Ese mismo año, China lanzó su propio torneo de hacking, la Copa Tianfu. Los premios ascendieron a un millón de dólares, casi el doble de los premios otorgados en Pwn2Own ese año. Durante la Copa Tianfu, los participantes, en su mayoría equipos chinos, hackearon sistemas operativos de Apple, teléfonos de Google y redes de Microsoft.
Lo que diferenció la Copa Tianfu fue lo que hicieron los participantes tras descubrirse esos exploits. Normalmente, en los hackatones internacionales, los errores se comunican a las empresas que fabrican el software o los dispositivos para que puedan corregirlos antes de que los hackers los exploten. Pero en China, los concursantes deben informar primero de las vulnerabilidades al gobierno.
Tarabay: Los concursos internacionales y occidentales son un espacio donde mucha gente de diferentes países compite, comparte, aprende y comunica sus hallazgos de forma mucho más abierta. Y esto contrasta con lo que ocurre en China. Muchas veces desconocemos qué vulnerabilidades están investigando. Desconocemos los resultados. Desconocemos si se ha notificado al proveedor.
Ha: Y en 2021, el gobierno chino fue un paso más allá. Una normativa de divulgación de vulnerabilidades entró en vigor y exigía a cualquier persona, ya fuera investigador de una empresa tecnológica o descubriera una falla durante una competición, informar de los hallazgos al gobierno en un plazo de 48 horas. Quien no cumpliera podría ser sancionado y multado.
Fuera de China, los gobiernos no obligan a los piratas informáticos ni a las empresas a revelar vulnerabilidades, pero tampoco comparten públicamente ninguna falla de software que sus agencias de inteligencia hayan descubierto.
Es una práctica llamada acaparamiento de vulnerabilidades. Y los expertos afirman que organizaciones como la Agencia de Seguridad Nacional de EU no revelan sus vulnerabilidades porque las utilizan para espiar a otros países y atacar sus sistemas.
Durante mucho tiempo, los expertos en ciberseguridad no estaban del todo seguros de cómo el gobierno chino utilizaba la información sobre las vulnerabilidades de seguridad. Hasta una supuesta filtración de datos en febrero del año pasado…
Presentador de CBS News: La policía china investiga cientos de archivos filtrados en línea la semana pasada. Estos archivos supuestamente muestran que las agencias gubernamentales de Pekín llevan a cabo ciberataques a gran escala contra gobiernos, empresas y otros actores extranjeros.
Ha: Cientos de archivos internos de i-Soon, empresa de ciberseguridad con sede en Shanghái que trabaja con clientes del gobierno chino, se publicaron en la plataforma en línea GitHub. Los registros de chat y las presentaciones, que los expertos del sector consideran auténticos, parecieron revelar ataques exitosos en 2021 y 2022. Los objetivos fueron diversos, desde el Ministerio de Asuntos Exteriores del Reino Unido hasta el Ejército Real Tailandés, e incluso el secretario general de la OTAN, Jens Stoltenberg. Lo que también revelaba estos archivos era el vínculo entre las competiciones de hacking chinas y estos ciberataques patrocinados por el Estado.
Tarabay: Vimos conversaciones sobre el intercambio de vulnerabilidades. Las personas que participaban en estas conversaciones hablaban de infiltrarse en un servidor de correo, intentando acceder a un sistema con una vulnerabilidad. Vimos a gente decir: “¿Cuándo voy a obtener esa vulnerabilidad de la Copa Tianfu?”. Y la respuesta fue: “Bueno, ya llegó al Ministerio de Seguridad Pública, o hemos visto que el Ministro de Seguridad Pública tiene un exploit, aún no está completamente desarrollado, pero a ver qué pasa, pruébalo”. Así que realmente reveló una línea de transmisión.
Ha: En marzo, las autoridades estadounidenses acusaron a varios empleados de i-Soon de llevar a cabo ciberataques a instancias de las agencias de inteligencia chinas. China niega las acusaciones. I-Soon no ha respondido a las acusaciones ni a las solicitudes de comentarios.
Con el aumento de las tensiones entre las dos superpotencias, ¿cuáles son los riesgos que el creciente ejército de hackers chinos representa para Estados Unidos y el resto del mundo? ¿Y pueden los gobiernos hacer algo al respecto? Eso es lo que veremos después del salto.
Ha: Identificar vulnerabilidades en tu teléfono o laptop no solo es importante para mejorar la experiencia del usuario y mantener tus datos seguros. Jamie Tarabay, de Bloomberg, afirma que son una herramienta importante que los gobiernos pueden usar en el escenario mundial, especialmente ante el aumento de las tensiones entre Estados Unidos y China, y a medida que China busca ejercer más poder e influencia en el extranjero.
Tarabay: Es un arma fundamental para cualquier gobierno. Tienes el poder de acceder a un dispositivo sin que nadie más lo sepa, quizás durante meses. Así que puedes controlarlo y usarlo a tu antojo. ¿A quién quieres atacar? ¿A tu población? ¿A los disidentes? Los chinos han reconocido que es una herramienta muy útil y están invirtiendo mucho dinero. Están invirtiendo mucho tiempo y talento, y están desarrollando su tecnología a un ritmo que el resto del mundo apenas puede igualar.
Ha: Y no se trata solo de robo de datos y espionaje corporativo. Las campañas de hacking pueden tener como objetivo la tecnología operativa que controla infraestructuras críticas, como redes eléctricas y sistemas de suministro de agua. Una campaña de hacking que preocupa especialmente a Estados Unidos se llama “Volt Typhoon”. Las agencias de inteligencia estadounidenses acusaron a hackers estatales chinos de comprometer infraestructura crítica en Guam, donde Estados Unidos tiene una base militar.
Tarabay: La campaña Volt Typhoon consiste básicamente en descubrir actores patrocinados por el Estado chino que se esconden en infraestructura crítica. Simplemente acechan, esperando el momento oportuno para activar un interruptor, interrumpir, causar caos o confusión, o retrasar las respuestas a una posible acción militar que China pudiera decidir emprender. Así es como el ciberejército se ve para los líderes chinos. Es una herramienta para usar en caso de una acción militar. También es una herramienta para la recopilación de inteligencia, como hicieron cuando piratearon los correos electrónicos de muchos funcionarios del Departamento de Estado, así como en la campaña más reciente, donde piratearon los teléfonos de la campaña de Trump.
Ha: China ha negado repetidamente cualquier acusación de piratería informática maliciosa, y también ha acusado durante mucho tiempo a Estados Unidos y a otros países de espionaje cibernético.
Tarabay: Todo se reduce a quién es el mejor espía. Siempre ha existido la idea de que si los espiamos, ustedes nos espiarán. Pero no sabemos qué hace Estados Unidos. No sabemos qué hacen los franceses. No sabemos qué hacen los australianos. No sabemos qué hacen los británicos. Pero así es el juego.
Ha: Y a medida que escuchamos más sobre estos ciberataques, ¿hay algo que Estados Unidos u otros gobiernos puedan hacer en este momento?
Tarabay: Con la última administración, estamos empezando a escuchar voces mucho más estridentes sobre la contraofensiva cibernética. En el Congreso, el Dr. Mark Green, presidente del Comité de Seguridad Nacional de la Cámara de Representantes, quiere contraofensivamente, quiere que empresas privadas lleven a cabo campañas cibernéticas ofensivas. La cuestión es que no sabemos si ya lo están haciendo; desconocemos qué está haciendo la NSA. Durante mucho tiempo, se la llamó “no existe tal agencia” porque nunca quisieron admitir su existencia, y mucho menos revelar a todo el mundo lo que estaban haciendo.
Ha: Y Jamie dice que parte de la razón por la que estos llamados a campañas cibernéticas ofensivas están aumentando es debido a las dificultades para responsabilizar a las personas por estos ciberataques.
Tarabay: Es lo mismo que ocurre con los hackers rusos: todos son acusados y permanecen donde están. Permanecen en Rusia o China, o viajan a países donde no serán extraditados y no enfrentan consecuencias. Uno de los problemas con las filtraciones de i-Soon es que a estas personas no se les paga mucho y están en la base de la jerarquía, así que cumplen las órdenes de otros. Así que, incluso si fueran el objetivo, no cambia el mecanismo ni el hecho de que esta es una política del gobierno o de esta agencia para llevar a cabo este tipo de comportamiento.
Ha: Entonces, ¿lo que estoy escuchando es que estás diciendo que China básicamente seguirá haciendo lo que está haciendo y que no hay nadie que pueda detenerlos?
Tarabay: Hay sanciones. Vemos la implementación de controles de exportación. Vemos sanciones contra individuos. Vemos sanciones contra bienes, ¿verdad? Empezamos a ver productos o empresas chinas siendo vetadas en Estados Unidos. Vemos a personas en Estados Unidos a las que se les prohíbe comerciar o invertir en empresas chinas. Pero a menos que se pueda traer a algunas de estas personas, esto no sucede realmente, porque la atribución siempre es muy difícil. Sabes, puedes decir: “Tengo todos los elementos que coinciden con este actor chino”, pero nunca lo sabrás con certeza. Vivimos en un mundo donde la IA avanza rápidamente. Muchos de estos ciberataques pueden automatizarse en el futuro. Cuanto más dependamos de la tecnología, mayor será nuestra exposición, más oportunidades para que todo tipo de hackers se infiltren, encripten, saboteen, exijan rescates, interrumpan, hagan de todo. Así que habrá más oportunidades, no menos.
