EEUU y China fomentan la desconfianza en las soluciones de ciberseguridad

 

La seguridad nacional es el mejor subterfugio para justificar la adopción de cualquier medida ilegal. EEUU lleva años utilizándola –es lo que hace con sus amenazas sobre Groenlandia-, pisoteando derechos humanos y libertades civiles o como medida de presión económica. Sin embargo, esta estrategia podría haberse vuelto ahora en su contra y en la de su alumno aventajado en estas lides, Israel: China ha prohibido el uso de software estadounidense e israelí, particularmente el relacionado con ciberseguridad alegando preocupaciones en materia de seguridad nacional.

Esta semana se ha conocido la noticia que afecta a gigantes tecnológicos estadounidenses como Broadcom, cuya empresa de virtualización VMware ya no podrá utilizarse por empresas chinas; así como Palo Alto Networks (que compró en 2025 a la israelí CyberArk) y Fortinet. Del lado israelí, la más afectada es una decana de la ciberseguridad, Check Point. La noticia ha sido destapada por Reuters, aunque algunas de las compañías afectadas niegan haber recibido notificación oficial de Pekín.

A esta relación de empresas y tras haber consultado a más fuentes, Reuters incluye también a las estadounidenses Alphabet (la matriz de Google y propietaria de Mandiant y Wiz), CrowdStrike, SentinelOne, Recorded Future, McAfee, Claroty y Rapid7; además de las israelíes Orca Security, Cato Networks e Imperva, ésta última propiedad de la francesa Thales tras su adquisición en 2023.

La base para tomar esa decisión parece ser la preocupación por parte de las autoridades chinas en materia de ciberseguridad, temiendo que este software recopile y transmita información confidencial al extranjero. Básicamente, es la misma argumentación de EEUU y otros países occidentales para haber vetado a uno de los actores más importantes en el despliegue de la infraestructura 5G, como la china Huawei o para la particular cruzada del régimen de Trump contra TikTok. Rusia también ha estado en el punto de mira de Washington con la empresa Kaspersky, cuyo software de seguridad fue vetado en 2017 de todas las redes gubernamentales y, siete años después (2024) se prohibió su venta en EEUU.

Tanto en el caso de China como de EEUU, las pruebas facilitadas para justificar estos vetos brillan por su ausencia. En este sentido, todo parece reducirse más a una contienda comercial y empresas chinas de ciberseguridad, como China 360 Security Technology y Neusoft, podrían verse beneficiadas. El impacto económico para las compañías citadas es innegable en muchas de las empresas citadas, dadas las dimensiones del mercado chino. En el caso de Broadcom, la compañía cuenta con presencia hasta en seis ciudades del país asiático; Fortinet tiene tres oficinas en la China continental y otra más en Hong Kong; Palo Alto tiene cinco oficinas en el país, incluida una en Macao; y Check Point dispone de actividades de soporte en Shanghái y Hong Kong. Tras conocerse la noticia, las acciones de Broadcom se desplomaron un 4%, siendo la más afectada en el parqué junto a la caída del 2,5% de Palo Alto, del 2,7% de Fortinet o el 1% de Check Point.

Quienes se desmarcan del impacto económico alegando no desarrollar actividades comerciales en China son CrowdStrike, Recorded Future, McAfee, SentinelOne o Claroty.

Más allá de lo que afecte a las cuentas de resultados de esas compañías o de lo que en un mercado globalizado terminen por afectarnos las alas de mariposa que aletean China-EEUU a golpe de tensión comercial, esta prohibición –como las anteriores- es una muy mala noticia para la confianza en el software de ciberseguridad. Este segmento no atraviesa precisamente su mejor momento, dados los casos reportados de fabricantes de herramientas de seguridad que han sido atacados para valerse de ellas como puerta de entrada a organizaciones.

Que EEUU y China veten a diferentes empresas por cuestiones de seguridad nacional trasciende mucho más de su particular guerra de sanciones/restricciones comerciales con los chips desarrollados para la Inteligencia Artificial (IA). Hacer flotar sobre distintos fabricantes de ciberseguridad la sombra de duda acerca de su efectividad o, incluso, sus buenas intenciones, genera un clima de desconfianza tanto a empresas y Administraciones Públicas como a usuarios particulares que no depara nada bueno.

Hay quien para resolver este dilema toma partido por una de las dos partes, pero dado que ninguna de ellas aporta pruebas concluyentes de sus acusaciones, ¿a quién creer? La opción de apostar por Occidente, que tiende a ser lo habitual en el contexto europeo, no tiene por qué ser la alternativa mejor, dado que EEUU no sólo ya ha dado sobradas muestras de ocultación de su ofensiva cibernética sino que, además y en manos del delirante Trump, un documento oficial de su Comando de Operaciones Especiales (SOCOM, por sus siglas en inglés) admitía sus intenciones de manipular a la ciudadanía de otros países. ¿Conclusión? No hay ninguna buena. Quizás no creer a ninguno o temerse que cualquiera de las opciones implica abrir puertas traseras.