Cuando los Estados levantan murallas digitales

La gran muralla China fue iniciada hace más de 2.200 años con el objetivo de defender a China de invasiones externas, hoy por hoy ese propósito lo cumple un nuevo perímetro virtual de estrictos controles telemáticos y que afecta a las nuevas rutas de comunicación digital; es lo que se conoce como el gran firewall chino. El gran firewall de la República Popular de China es el conjunto de leyes y medidas tecnológicas dictadas por su Gobierno para protegerse del exterior. Unas leyes que se amparan en el principio de soberanía nacional y que estipulan que todo Estado tiene derecho a supervisar, regular y censurar cualquier información o dato electrónico que se mueva dentro de sus fronteras.

Cuando China empezó a conectarse a la red global, un funcionario, Fang Binxing, desarrolló lo que empezó a conocerse como el escudo dorado —Golden Shield—, una aplicación que permitía al Gobierno inspeccionar cualquier dato recibido o enviado dentro del país y bloquear direcciones IP y nombres de dominios de Internet basándose en intereses nacionales. Hoy por hoy es la máxima autoridad del Centro de Administración de Ciberseguridad, el CAC —Cyberspace Administration of China.

La red de la República Popular de China, coordinada por el CAC, evolucionó hacia una enorme Intranet monitorizada controlada por el gobierno. Algunos, no obstante, intentaron evitarlo mediante el uso de VPN, la única forma de atravesar aquella frontera digital sin la supervisión del CAC. Es lo que se catalogó como “la guerra incesante entre el Gran Firewall y las VPN”. Una guerra que sigue hoy en día. Años más tarde, en 2015, el presidente chino Xi Jinping, avalado por la idea de que “no existía distinción entre el mundo virtual y el mundo real porque ambos debían reflejar los mismos valores políticos, ideales y estándares”, impulsó el desarrollo de unas leyes más estrictas que obligarían a toda compañía, fuera nacional o extranjera, a establecer sus conexiones a través de operadores monitorizados por el Gobierno. Esto les dio el control de las comunicaciones internas del país mediante la integración del bloqueo de direcciones IP, el filtrado de DNS y sus redireccionamientos, el acceso a cualquier dato en cualquier dispositivo, el control de acceso a URL o el análisis de cualquier paquete TCP que circulaba por la red.

Desde 2018, las compañías extranjeras solo tienen un número limitado de servicios VPN aprobados por las autoridades. Pero esta no es la restricción más importante, desde el 1 de diciembre de 2019, todos los usuarios que se registran en China deben escanear su rostro para que queden registrados para su identificación en cualquier contexto. Se requiere que los usuarios siempre accedan a cuentas públicas con sus datos reales y no utilicen nombres impersonalizados. Con ello, de acuerdo con la política del país, “se evita el uso del anonimato para propagar rumores o comentarios que puedan dañar el interés general”. Algunas organizaciones como GreatFire se han encargado de dar visibilidad a esta situación que consideran represiva y han propuesto algunas medidas tecnológicas para combatirla, ya que no solo afecta a aspectos políticos o sociales, sino que limitan los lugares a los que se puede acceder o la velocidad de descarga de páginas web.

Bajo esta estrategia, empresas como Baidu, Alibaba o Tencent se beneficiaron de la falta de competencia externa a la vez que seguían recibiendo peticiones de servicios y productos desde otros países. Actualmente, más de 10.000 servicios web del mundo son inaccesibles en China, incluyendo redes sociales como Facebook, Instagram o WhatsApp, o incluso medios de comunicación como Bloomberg, The Wall Street Journal o el The New York Times. También algunas herramientas de colaboración como Dropbox o Google Drive se han visto afectados. Sin embargo, es cierto que algunas de estas compañías han aceptado parcialmente las medidas exigidas por el gobierno chino; al fin y al cabo, más 854 millones de usuarios online chinos son un mercado difícil de rechazar .

Pero no todo se ha quedado en controlar la información que se mueve dentro del país. Recientemente los investigadores de ATT AlienVault identificaron que una antigua herramienta de ataque, derivada del modelo de Gran Firewall, había sido activada desde dentro de la República Popular de China. Se trataba de lo que se ha definido como el Gran Cañón —catalogado así por el University of Toronto’s Citizen Lab.

Estamos hablando de un mecanismo que permite insertar código en las peticiones de acceso a páginas web externas para bombardear con nuevas peticiones a otros servicios que acaban bloqueados ante la avalancha de consultas que reciben; un ataque de DDoS. Los datos proporcionados por ATT AlienVault indican que uno de estos últimos ataques de DDoS ha causado ya el bloqueo de algunos servidores relacionados con el Movimiento prodemocracia de Hong Kong. La muralla virtual se convierte en u cañón virtual.

Sin embargo, ¿podríamos afirmar que el modelo de gestión de ciberseguridad chino es único? Lo cierto es que otros países están siguiendo pasos similares . Los regímenes más autoritarios parecen aplicar el mismo enfoque dato-nacionalista. En regiones occidentales como Europa o EEUU el modelo es más de cooperación con el sector privado, mientras tratan de definir conceptos comunes y estándares que apliquen a la protección de los datos y las personas.

El RGPD es un ejemplo de ello. En una posición intermedia se encuentran los pequeños países como Corea del Sur que están a caballo entre las medidas del mundo occidental y la protección frente a las amenazas geopolíticas de sus más próximos vecinos. Amenazas que tratan de combatir también con el establecimiento de fronteras digitales. En definitiva, las opciones resultan múltiples y las implicaciones indeterminadas. Al final, deberemos admitir que nos encontramos ante un mundo digital concebido para huir de las fronteras, pero que sigue enfrentado a grandes muros que se levantan y que no siempre son fáciles de superar.

Juanjo Galán es Business Strategy de All4Sec