El peligro de Huawei, un caballo de Troya digital: la ley china obliga a ceder todos los datos al Estado

La adjudicación a Huawei de un contrato público para la gestión y almacenamiento de las escuchas telefónicas judiciales, por valor de 12,3 millones de euros, ha despertado suspicacias al tratarse de una empresa estrechamente vinculada a Pekín. Aunque tanto el Ejecutivo español como la multinacional han garantizado la seguridad de los datos, China cuenta con un entramado legal que obliga a sus empresas a ceder información a los servicios de inteligencia del país.

Huawei asegura que el equipo utilizado para las escuchas es un sistema de almacenamiento flash —que conserva la información incluso en caso de apagones— y que cumple «con la regulación aplicable en el Esquema Nacional de Seguridad», es decir, el marco normativo que establece requisitos y estándares para garantizar la seguridad en las administraciones públicas y sus proveedores. Además, afirma que el dispositivo «cumple con la guía de seguridad» del Centro Criptológico Nacional para reforzar la ciberseguridad de las organizaciones.

El Gobierno, por su parte, sostiene que las comunicaciones y la ciberseguridad están «totalmente garantizadas y a los más altos estándares europeos». «La contratación de sistemas de almacenamiento de Huawei no comporta ningún riesgo para la seguridad y cumple con los niveles requeridos en el Esquema Nacional de Seguridad por autoridades de certificación independientes», aseguran desde el Ministerio del Interior.

Sin embargo, este acuerdo ha encendido las alarmas en Estados Unidos, donde acusan al Ejecutivo de Pedro Sánchez de «estar jugando con fuego al poner en riesgo su seguridad nacional y la de sus ciudadanos». Según advertía el congresista republicano Rick Crawford en una carta, «cada país que abre sus puertas a Huawei solo brinda más oportunidades a la empresa controlada por el PCCh (Partido Comunista Chino) para extraer datos que utiliza para promover sus objetivos geopolíticos».

«A medida que el PCCh continúa acumulando estas ‘victorias’, se anima a asumir su próxima y trascendental estrategia de influencia. La comunidad internacional debe trabajar unida para defenderse de la destructiva y generalizada influencia del PCCh», concluía la misiva.

Pero Crawford no es un congresista más: preside el Comité Permanente de Inteligencia de la Cámara de Representantes. El asunto ha escalado hasta el punto de que la Casa Blanca ha suspendido el intercambio de datos de inteligencia con España ante el riesgo de que Huawei esté utilizando ‘puertas traseras’ en sus dispositivos, lo que permitiría el acceso no autorizado de terceros.

«La legislación china obliga a las empresas tecnológicas a colaborar con los servicios de inteligencia del país, y eso implica que el Gobierno está directamente involucrado en muchas de sus decisiones», explica Manuel Huerta, CEO de Lazarus Technology.

Eso hace que determinadas tecnologías —sobre todo si se instalan en sectores críticos— puedan incorporar puertas traseras de forma obligatoria. No es algo que afecte a todos los fabricantes por igual, pero sí es una realidad que hay que tener presente. Las agencias de inteligencia occidentales, especialmente las estadounidenses, ya llevan tiempo advirtiendo de los riesgos de incorporar tecnología china en infraestructuras sensibles.

Además, gran parte del hardware global se produce en China: más del 90 % de las placas base y el 75 % de los teléfonos móviles. Ese acceso a los centros de ensamblaje abre la puerta a posibles alteraciones a nivel de componentes. Ya en 2018 se descubrió un caso grave con servidores de Supermicro, donde se había integrado un chip espía que permitía acceso remoto sin control alguno. Afectó a grandes compañías como Amazon, Apple o incluso a agencias del Gobierno de EE.UU. Ese tipo de precedentes son los que explican los vetos y la desconfianza generalizada.

Huerta señala que, en el caso de dispositivos como los sistemas de almacenamiento, el riesgo es menor si no tienen conectividad externa y están en entornos controlados, como es el caso de Sitel, el contratado por el Estado español.

Hay empresas chinas que están intentando proteger su mercado desplazando sus infraestructuras fuera del territorio continental

«Ahora bien, hay empresas chinas que están intentando proteger su mercado internacional desplazando sus infraestructuras fuera del territorio continental, bajo jurisdicciones locales que les permitan cumplir con la normativa de protección de datos sin estar sometidas directamente a la ley de inteligencia china», añade.

Es una forma de intentar eludir esa obligación legal sin poner en riesgo la confianza de sus clientes. Porque, evidentemente, cualquier empresa que se vea vinculada a injerencias de este tipo puede perder mercados muy importantes.

En 2020, el Departamento de Seguridad Nacional de EE. UU. publicó un informe sobre los riesgos que enfrentan las empresas extranjeras como consecuencia del marco legal diseñado por Pekín. Este sistema reserva al Estado chino la capacidad legal y física de obligar a cualquier empresa nacional a ceder su información. Se basa en tres leyes clave:

Ley de Inteligencia Nacional de 2017

Este texto sienta las bases del régimen moderno de recopilación de datos y obliga a todas las empresas y ciudadanos chinos a «apoyar, asistir y cooperar» con los servicios de inteligencia. El artículo 7 establece que «toda organización o ciudadano deberá apoyar, asistir y cooperar con las labores de inteligencia estatal de conformidad con la ley, y mantener la confidencialidad de todo conocimiento relacionado con dichas labores».

En la práctica, esto permite a una agencia de inteligencia china solicitar a cualquier empresa o entidad que comparta en secreto el acceso a los datos de una empresa o individuo extranjero, bajo amenaza de sanción.

La ley puede obligar a crear ‘puertas traseras’ u otras vulnerabilidades de seguridad en los productos vendidos en el extranjero

La ley también puede obligar a crear ‘puertas traseras’ u otras vulnerabilidades de seguridad en los productos vendidos en el extranjero, para que Pekín pueda acceder fácilmente a información no controlada directamente por empresas chinas.

Asimismo, establece un sistema de recompensas para quienes colaboren con la inteligencia y de castigos para quienes se nieguen, incluyendo despidos, investigaciones o detenciones.

Además, una serie reciente de nuevas leyes ha codificado prácticas que perpetúan la adquisición ilícita de datos extranjeros. El sistema legal chino difumina los límites entre lo gubernamental y lo empresarial, al cooptar a empresas como herramientas del Partido Comunista. Estas leyes también exigen que las empresas extranjeras que operan en China almacenen datos dentro del país y prohíben su cifrado efectivo, exponiendo información sensible a explotación o robo.

Ley de Seguridad de Datos de 2020

Esta ley amplía considerablemente el control sobre los datos, alejándose de un enfoque defensivo para abrazar la recopilación de información como herramienta ofensiva. Define las «actividades de datos» de forma extremadamente amplia, incluyendo aquellas realizadas fuera del territorio chino si afectan a su seguridad nacional, económica, social o sanitaria.

Crea un sistema centralizado de supervisión y evaluación de riesgos, que permite investigar si las actividades de una empresa representan una amenaza. Además, China se reserva el derecho de tomar represalias cuando otros países adopten medidas que considere discriminatorias en materia de comercio o inversión. Esta disposición demuestra que la ley no está diseñada exclusivamente para proteger las actividades nacionales en China, sino para obligar a los mercados extranjeros a permanecer abiertos a los proveedores chinos de servicios de datos.

China obliga a las entidades a cumplir regulaciones adicionales, fomentar el desarrollo económico y social «según la moral y ética del PCCh»

La ley obliga a las entidades a cumplir regulaciones adicionales, fomentar el desarrollo económico y social «según la moral y ética del PCCh» y proporcionar información a las autoridades chinas si estas lo requieren, incluso en respuesta a solicitudes de autoridades extranjeras.

Las infracciones pueden ser sancionadas con hasta un millón de renminbis (unos 120.000 euros), la confiscación de ganancias e incluso sanciones personales a los responsables, todo ello sin garantías judiciales.

Ley de Criptografía de 2020

Esta norma establece el marco para controlar el cifrado de datos y exige que los proveedores cuenten con la aprobación de la Administración Estatal de Criptografía de China (SCA), para lo cual deben proporcionar sus claves de cifrado.

El artículo 31 permite a las autoridades acceder a los sistemas cifrados, incluyendo contraseñas y claves, lo que otorga a la SCA acceso total a servidores protegidos. Como resultado, cualquier empresa extranjera que desee operar en China debe ceder su tecnología y propiedad intelectual al Estado.

Justificación del monopolio

Además de su marco legal, el PCCh utiliza el Sistema de Crédito Social Corporativo (SCS) para reforzar su control. Este sistema obliga a las empresas a introducir información sensible en una base de datos centralizada (NCISP), a partir de la cual el Gobierno puede premiarlas o sancionarlas.

El Departamento de Seguridad Nacional de EE. UU. advierte que, a diferencia de los sistemas democráticos, las leyes chinas son desarrolladas por el poder ejecutivo sin supervisión legislativa ni judicial. Su objetivo, advierten, es simplemente «justificar el monopolio del Gobierno» sobre sus ciudadanos y empresas.