Desde el próximo mes de septiembre, las autoridades chinas exigirán que cualquier ciudadano que encuentre una vulnerabilidad día cero la reporte al gobierno, por lo que no podrán enviarla a programas de recompensa o notificarla a terceros fuera de China además de los fabricantes de los productos vulnerables.
Estas nuevas reglas, emitidas por la Administración del Ciberespacio de China, señalan que “nadie podrá recopilar, vender o publicar información sobre vulnerabilidades de productos de red.” Cabe aclarar que este informe no aclara si se prohíbe cualquier actividad de investigación privada o solo se tratará de controlar los resultados de estos análisis.
El informe publicado por Associated Press (AP) señala que este es un nuevo intento del Partido Comunista para tratar de controlar toda la información posible, incluyendo la administración de vulnerabilidades de seguridad. China ya mantiene algunos controles estrictos sobre tecnologías de la información en su territorio, especialmente en cuanto a compañías tecnológicas operando en territorio chino.
Esta nueva regla refuerza políticas como el Artículo 7 de la Ley de Inteligencia China, que exige a los ciudadanos chinos cooperar con los esfuerzos de inteligencia nacional. Esta vez, la intención de las autoridades parece ser reforzar el control sobre la información interna relacionada con riesgos de ciberseguridad.
Grupos opositores al gobierno chino creen que con esta política el Partido Comunista interceptará cualquier vulnerabilidad día cero que sus grupos de hacking asociados puedan explotar, así interrumpiendo la actividad de inteligencia de agencias estadounidenses, rusas y otros países. Al respecto, el experto en ciberseguridad Joseph Carson menciona considera que: “es posible que el gobierno chino utilice como arma cualquier vulnerabilidad de seguridad descubierta en su territorio para mejorar las capacidades de ciberseguridad de sus especialistas.”
Por otra parte, el investigador Jake Williams cree que esto impactará directamente en el combate a las vulnerabilidades de seguridad: “Es casi seguro que el gobierno canalizará estas vulnerabilidades a los actores de amenazas. Esto probablemente no provocará un aumento en el volumen de ataques, pero puede aumentar la sofisticación de estos hackers.”
Sea cual sea la intención del gobierno de China, el hecho es que es probable que los actores de amenazas tengan mayor acceso a la información relacionada con cualquier vulnerabilidad día cero.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.