El espionaje chino, la principal preocupación de los vehículos conectados

El 29 de febrero, el presidente de Estados Unidos, Joe Biden, anunció "medidas sin precedentes para garantizar que los coches que circulan por las carreteras estadounidenses procedentes de países preocupantes como China no socaven nuestra seguridad nacional". Pidió al Departamento de Comercio que pusiera en marcha una normativa avanzada (ANPRM) sobre vehículos conectados con tecnología procedente de esos países y que tomara medidas para responder a los riesgos. 

En su ANPRM, la Oficina de Industria y Seguridad (BIS) del Departamento dijo que está considerando proponer normas que prohíban ciertos tipos de tecnología y servicios de información y comunicaciones (ICTS) y transacciones por parte de cualquier persona sujeta a la jurisdicción o dirección de determinados gobiernos extranjeros. Entre estos gobiernos se encuentran China, la Región Administrativa Especial de Hong Kong (RPC), Cuba, Irán, Corea del Norte, Rusia y Venezuela. 

El BIS espera recopilar información sobre las tecnologías y los participantes en el mercado que podrían ser objeto de una posible regulación final. La ANPRM se centra en gobiernos extranjeros o partes relacionadas que podrían suponer un riesgo de sabotaje, catástrofes u otros resultados indeseables que amenacen las infraestructuras críticas o la seguridad nacional de Estados Unidos. 

Sin embargo, la ANPRM también señala que, además de estos riesgos, China representa probablemente la amenaza de ciberespionaje más amplia, activa y persistente para el Gobierno y las redes privadas de Estados Unidos. Los expertos sugieren que este riesgo de espionaje representa una amenaza china más importante para el mercado emergente de los vehículos conectados (VC) que los ataques directamente dañinos. 

Es probable que China esté estudiando modelos de vehículos conectados 

La ANPRM afirma que "la estructura legal de China también otorga una amplia autoridad al Estado para cooptar a empresas privadas para perseguir sus objetivos", dado que una serie de leyes otorgan al Gobierno chino la capacidad de obligar a las empresas dentro de sus fronteras, incluidos los fabricantes de automóviles y sus proveedores, a cooperar con sus servicios de inteligencia y seguridad. 

El ANPRM afirma: "La combinación de autoridades legales y la opaca influencia del Partido Comunista Chino (PCCh) hacen que las empresas privadas sujetas a la jurisdicción de la RPC [República Popular China] sean susceptibles a las peticiones de los funcionarios de inteligencia y militares. Los funcionarios de la RPC pueden obligar a las empresas a proporcionar al Gobierno datos, acceso lógico, claves de cifrado y otra información técnica vital, así como a instalar puertas traseras o errores en los equipos que crean fallos de seguridad fácilmente explotables por las autoridades de la RPC".

El ANPRM también sostiene que "según informes de fuentes abiertas, más de 200 fabricantes de automóviles que operan en la RPC están legalmente obligados a transmitir datos de vehículos en tiempo real, incluida la información de geolocalización, a los centros de vigilancia del Gobierno". Solicita comentarios sobre el grado en que los componentes de la cadena de suministro de TICS para vehículos comerciales proceden de proveedores chinos. 

No hay datos actuales que indiquen cuánta tecnología china hay en los vehículos conectados fabricados en Estados Unidos u otros países occidentales. Sin embargo, China ha tratado de dominar el mundo de los vehículos eléctricos durante más de dos décadas, con la Gigafactoría de Shanghái representando más de la mitad de los coches de Tesla producidos en 2022. En el último trimestre de 2023, el fabricante de automóviles chino BYD incluso superó a Tesla como el principal fabricante de vehículos eléctricos del mundo, con sus económicos coches eléctricos demostrando ser populares en toda Europa.

Con este creciente dominio del mercado de vehículos eléctricos, no sería descabellado afirmar que China también está estudiando de cerca los modelos de vehículos conectados. "China quiere liderar el mundo de los vehículos eléctricos y los está produciendo", explica a CSO Lindsay Gorman, investigadora principal de tecnologías emergentes de la Alianza para Asegurar la Democracia de la German Marshall Fund. "Por lo general, la estrategia consiste en copiar la mejor tecnología y los mejores procesos para luego desplazar a esos competidores, incluso cuando proporciona un entorno de mercado al que a las empresas privadas les cuesta mucho decir que no debido a la mano de obra barata, la fabricación menos costosa y, probablemente, menos regulaciones y obstáculos que atravesar en la superficie". 

Gorman cree que, a pesar de la ventaja competitiva de China en la fabricación industrial, como la producción de vehículos eléctricos, su bien documentada experiencia en el robo de propiedad intelectual probablemente también le ha llevado a estudiar intensamente cómo diseñan y ensamblan sus coches los fabricantes occidentales que producen vehículos en China. "Muchos de los fabricantes de automóviles alemanes, por ejemplo, tienen sus instalaciones de producción en China y cuentan con sofisticados procesos de fabricación y producción", afirma. 

"Así que no me extrañaría que las empresas automovilísticas chinas tomaran nota del funcionamiento de estos fabricantes internacionales y se propusieran desplazar a los Audi y los BMW del mundo en los próximos 10 ó 20 años". Y añade: "Lo que probablemente veamos podrían ser muchos casos de China investigando el papel de los datos y el valor estratégico nacional de los datos en nuestros sistemas conectados". 

La estructura jurídica de China es una señal de sus intenciones 

Lo que no está claro es si China ya ha empezado a aprovechar sus ventajas en espionaje y robo de propiedad intelectual para desarrollar una estrategia de vehículos conectados. La normativa del Departamento de Comercio afirma que una "serie" de leyes chinas pueden obligar a las empresas a cooperar con los servicios de inteligencia y seguridad.

En particular, el ANPRM cita la Ley de Seguridad de Datos de 2021 de la República Popular China, que se entrelaza con otras dos leyes: la Ley de Seguridad Nacional de 2017 de la República Popular China y la Ley de Inteligencia Nacional de 2015. Los expertos sostienen que, al igual que muchas otras leyes chinas, estas leyes intencionadamente vagas señalan lo que China pretende hacer. 

"Estas leyes, como la Ley de Seguridad Nacional de 2017, por ejemplo, a menudo se consideran mejor como descriptores de la acción estatal más que como restricciones a la misma", dice Gorman. "Creo que generalmente pensamos en las leyes que aprueba el Congreso como 'esto es lo que podemos hacer y esto es lo que no podemos hacer'. En China, las leyes señalan la intención de tal vez lo que el Estado ya está haciendo o lo que pretende hacer. No lo veo como una restricción". 

"Yo iría incluso un paso más allá y diría que las acciones del partido del Gobierno no deben verse limitadas por la ley", explica a CSO Dakota Cary, miembro no residente del Atlantic Council. "No son topes en el camino, sino postes indicadores de las direcciones que pueden tomar los ministerios o las amenazas del Gobierno. Independientemente de lo que se haya escrito, el Gobierno puede tomar las medidas que quiera". Y añade: "Es probable que el Gobierno chino estuviera recopilando información de sus propias empresas que operaban en el extranjero mucho antes de que hubiera una ley escrita que dijera que podían hacerlo". 

Pocas pruebas públicas del uso indebido de las leyes de seguridad e inteligencia por parte de China 

Dado que China prohíbe casi con toda seguridad a las empresas revelar cuándo han recibido este tipo de solicitudes de inteligencia, algunos ejemplos apuntan a que China desempeña un papel activo en ello. El gigante chino de la tecnología de telecomunicaciones Huawei, al que el Gobierno estadounidense considera desde hace tiempo una extensión del Gobierno chino, se vio envuelto en una importante batalla intelectual y del Gobierno estadounidense por el robo de propiedad intelectual de T-Mobile. "No sólo propiedad intelectual, sino robo de propiedad física contra T-Mobile: empleados en China, probablemente relacionados con el PCCh, exigían que empleados en el estado de Washington tuvieran acceso a un brazo robótico patentado que T-Mobile tenía para probar sus teléfonos móviles", explica Gorman. 

Antes de eso, Huawei supuestamente transmitió datos desde la sede de la Unión Africana (UA) en Addis Abeba, Etiopía, a servidores en China, lo que muchos creyeron que era el uso de equipos de Huawei por parte del Gobierno chino para espiar la actividad extranjera. En 2023, un antiguo ingeniero de ByteDance, Yintao Yu, alegó en una demanda por despido improcedente que el PCCh utilizó una credencial "dios" para vigilar a los usuarios de TikTok, propiedad de ByteDance, que protestaban en Hong Kong.

Lo cierto es que China es plenamente consciente de que los coches conectados tienen importantes capacidades de espionaje. A mediados de 2022, las autoridades de la ciudad costera de Beidaihe (China) prohibieron a los Tesla entrar en el distrito durante dos meses en torno a un cónclave anual secreto de fiestas de verano al que asistió Xi Jinping. Han aparecido otros informes sobre prohibiciones de Tesla cerca de instalaciones gubernamentales por motivos de seguridad de los datos y vigilancia.

"China no permite que los Tesla circulen cerca de sus funcionarios políticos más importantes, incluidos los dirigentes del Partido Comunista Chino", explica Cary. "Por tanto, está muy claro que China entiende conceptualmente que estos vehículos pueden recopilar mucha información sensible. También impiden que su personal militar posea Teslas".

¿Qué conseguirá el ANPRM?

Dado que EE.UU. sabe poco sobre el papel de China en los vehículos conectados y la ausencia de ejemplos reales de cómo China ha esgrimido sus opacas leyes de seguridad e inteligencia, es difícil saber qué aportará el ANPRM de Comercio. Gorman cree que se trata del primero de "muchos casos de investigación del papel de los datos y del valor estratégico nacional de los datos en nuestros sistemas conectados. Es algo que venimos reclamando desde hace tiempo. Hemos señalado los vehículos conectados como una de estas aplicaciones clave del Internet de las Cosas (IoT), donde los vehículos están generando volúmenes masivos de datos".

Cary cree que la acción de Biden refleja que "nos estamos dando cuenta de que, al hacer que todos nuestros dispositivos sean inteligentes y estén integrados e intentar utilizar todos esos datos para mejorar los productos y la IA y todo lo demás, si no puedes confiar en los demás participantes en ese sistema", entonces es hora de empezar a crear sistemas separados. La conclusión, dice, es que "hay un gran interés por parte del Gobierno chino en hacer espionaje, y no hay límites en el tipo de acceso que puede obtener de las empresas tecnológicas que suministran algunas de estas tecnologías centrales que se han adoptado rápidamente en EE.UU.".