China, por su parte, lo niega todo y, en ocasiones, se puede encontrar que hace contraacusaciones. De hecho, tras las recientes sanciones y protestas por un intento chino de robar los datos de aproximadamente 40 millones de votantes del Reino Unido, China respondió con protestas diciendo que tales acusaciones no eran más que “calumnias maliciosas”.
¿Por qué los CISO deberían preocuparse por los ciudadanos chinos expatriados?
Aquellos que China ha determinado que son de interés viven donde vivimos nosotros, trabajan en el cubículo del pasillo, son parte de nuestras sociedades. Las personas objetivo de China pueden ser disidentes activos o pueden tener familiares que sean disidentes activos. Ninguno levanta la mano y pide ser atacado, pero muchos son sobornados, reclutados o coaccionados para robar datos importantes o secretos útiles para los servicios de inteligencia chinos.
Y si bien hay amplia evidencia de que China está apuntando a personas de etnia china, sería una tontería suponer que se trata de un parámetro de selección inclusivo. Los parámetros utilizados son “acceso”: ¿tiene el individuo acceso a lo que desea (información, tecnología u otro individuo)?
Sería igualmente tonto adoptar una perspectiva xenófoba, según la cual cualquier persona de una determinada etnia, como los chinos, representa un riesgo significativo. Para reiterar, aquellos que están siendo atacados por China lo son por su acceso a información de interés para China, ya sea propiedad intelectual, capacidades internas o proximidad a aquellos a quienes el gobierno desea silenciar.
Lo que sí es cierto es que conviene entablar conversaciones con todos los empleados sobre la amenaza que representan los servicios de inteligencia chinos. Para ayudar a proteger la información corporativa confidencial, es vital estar conscientes de cómo los infiltrados (voluntariamente o bajo coacción) detectan, evalúan, involucran, reclutan y manejan fuentes clandestinas y cómo estas organizaciones utilizan sustitutos para realizar el contacto inicial con una fuente potencial.
Las asociaciones público-privadas pueden ayudar a proteger contra los ataques de los Estados-nación
Si bien el ruido del gobierno y las sanciones generan gran publicidad, lo que realmente se necesita es más Asociaciones Público-Privadas que pueden proporcionar información procesable a los CISO no gubernamentales que pueden utilizar para proteger su infraestructura, propiedad intelectual y personal.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) está en camino de lograr precisamente eso con su avisos y advertencias, complételo con las secciones «lo que necesita hacer». Lo desafortunado es que las grandes empresas son generalmente las que tienen los medios para tomar las medidas recomendadas y las herramientas/infraestructura de las pequeñas y medianas empresas pueden no ser suficientes.
Sin embargo, el conocimiento es poder y los CISO harán bien en captar lo que CISA está estableciendo en lo que respecta a las advertencias de amenazas. De manera similar, el poder de educar a su fuerza laboral, el objetivo humano, está al alcance de cada CISO.