Una vulnerabilidad cada 48 horas: los hackers chinos, tan eficaces, ahora son funcionarios públicos

En los últimos 20 años la industria china de búsqueda de vulnerabilidades pasó de una escena caótica de entusiastas a un sistema estructurado, estrechamente ligado a intereses estatales. A principios de los 2000 era un mercado fragmentado con bases de datos gratuitas y exploits baratos, pero hacia mediados de la década de 2010 la ecosistema se consolidó en plataformas comerciales, centros de investigación en grandes empresas y redes de especialistas privados que empezaron a participar activamente en concursos internacionales y en programas de recompensas por errores encontrados en productos occidentales. Hoy este ámbito forma parte de la infraestructura estratégica de China, donde investigadores, organismos estatales y contratistas privados actúan en una «tubería vectorial» de recolección de vulnerabilidades.

Tras las victorias de equipos chinos en competiciones internacionales, las autoridades asumieron el control del rumbo. En 2018 se prohibió a participantes de la RPC competir en torneos extranjeros sin aprobación, obligándoles a notificar todas las vulnerabilidades encontradas a los órganos de seguridad pública y de la información. Al mismo tiempo surgieron concursos internos cuyos resultados a menudo se remitían al Ministerio de Seguridad del Estado y al Ministerio de Seguridad Pública. En 2021 el reglamento «Sobre la gestión de vulnerabilidades en productos de red» obligó a las empresas a informar al Ministerio de Industria e Informatización (MIIT) sobre los fallos detectados en un plazo de 48 horas. Microsoft señaló que tales normas podrían permitir a las estructuras estatales acumular vulnerabilidades sin divulgar para utilizarlas en operaciones.

En la práctica el control sigue siendo parcial. Los investigadores a menudo retrasan las notificaciones o comercian con vulnerabilidades en mercados no oficiales. Incluso después del caso ejemplar de 2021, cuando un ingeniero de Alibaba informó del grave fallo Log4Shell, las exigencias no siempre se cumplen. Por eso el Estado recurre no solo a la presión, sino también a un sistema de recompensas. La base nacional china de vulnerabilidades (CNNVD), subordinada al Ministerio de Seguridad del Estado, paga a los investigadores por los defectos hallados y emite certificados que aumentan su estatus profesional y abren la puerta a contratos estatales. Gracias a ello crece la membresía en la red de unidades técnicas de CNNVD (TSU), y la cesión voluntaria de información sobre debilidades se vuelve rentable.

Paralelamente se ha formado una capa de vínculos informales entre investigadores, incluidas personas relacionadas con contratistas que trabajan para el Estado. El ejemplo más conocido es la empresa Sichuan Silence, cuyos empleados aparecieron en investigaciones de Estados Unidos sobre ataques a productos de Sophos. Se detectan esquemas similares en la relación entre los equipos Pangu e i-SOON: el primero es conocido por exploits de iOS y está vinculado con la corporación Qi An Xin, el segundo participa en operaciones relacionadas con los grupos RedHotel y Aquatic Panda. Las filtraciones de documentos de i-SOON en 2024 mostraron que ambas estructuras mantenían contactos de trabajo y compartían vulnerabilidades encontradas, incluidas las que podrían emplearse con fines de investigación o inteligencia.

El Estado amplía progresivamente esta «tubería»: incorpora colegios y centros técnicos al proceso, y las grandes empresas implementan sistemas de formación multinivel. Así, la plataforma Butian, perteneciente a Qi An Xin, desarrolló el programa ««Sombrero Blanco»: camino del maestro» —un programa de seis niveles con teoría, práctica y sistema de incentivos. Al mismo tiempo, el foco en las vulnerabilidades se desplaza cada vez más de productos extranjeros a productos nacionales. Entre 2018 y 2022 en los concursos Tianfu Cup se prestó atención principalmente a aplicaciones occidentales, pero en 2023 aumentó el fondo de premios para objetivos chinos y en 2024 el torneo Matrix Cup estableció por primera vez categorías separadas para sistemas locales, repartiendo premios por un total de 2,75 millones de dólares —más que el canadiense Pwn2Own.

Sin embargo, la publicidad de esos concursos se reduce: Tianfu Cup no se celebró en 2024 y en Matrix Cup no se divulgaron detalles de los exploits. Al mismo tiempo, empresas chinas obtuvieron acceso a datos confidenciales sobre vulnerabilidades extranjeras a través del programa Microsoft MAPP, por el cual a los socios se les informa de antemano sobre futuras actualizaciones. De los 104 participantes del programa, 13 son de China, lo que suscita dudas sobre la seguridad de esa información. Según Bloomberg, en agosto de 2025 Microsoft redujo su participación por temor a filtraciones.

El sistema chino moderno de búsqueda de vulnerabilidades se ha transformado de una comunidad de entusiastas a un ecosistema centralizado que combina exigencias burocráticas, motivación financiera y estímulos patrióticos. Los profesionales se forman ahora a través de plataformas corporativas, y el Estado controla tanto las fuentes como los flujos de información. Al mismo tiempo, muchos investigadores siguen enviando informes sobre fallos a empresas occidentales, equilibrando la ventaja personal, el reconocimiento científico y los intereses de la seguridad nacional.