Una filtración masiva muestra cómo una empresa china está exportando el Gran Cortafuegos al mundo

Una filtración de más de 100.000 documentos muestra que una empresa china poco conocida ha estado vendiendo silenciosamente sistemas de censura aparentemente inspirados en el Gran Cortafuegos a gobiernos de todo el mundo.

Geedge Networks, empresa fundada en 2018 que cuenta entre sus inversores al "padre" de la masiva infraestructura de censura de China, se presenta como un proveedor de monitoreo de redes que ofrece herramientas de ciberseguridad de nivel empresarial para "obtener visibilidad integral y minimizar los riesgos de seguridad" para sus clientes, según muestran los documentos. De hecho, los investigadores descubrieron que ha estado operando un sofisticado sistema que permite a los usuarios monitorear información en línea, bloquear ciertos sitios web y herramientas VPN, y espiar a individuos específicos.

Los investigadores que revisaron el material filtrado descubrieron que la empresa puede integrar funciones avanzadas de vigilancia en lo que equivale a una versión comercializada del Gran Cortafuegos: una solución integral que incluye hardware que puede instalarse en cualquier centro de datos de telecomunicaciones y software operado por funcionarios del gobierno local. Los documentos también describen las funciones deseadas en las que trabaja la empresa, como el ciberataque por encargo y el geofencing para ciertos usuarios.

Según los documentos filtrados, Geedge ya ha comenzado a operar en Kazajistán, Etiopía, Pakistán y Myanmar, así como en otro país no identificado. Una oferta de empleo pública indica que Geedge también busca ingenieros que puedan viajar a otros países para realizar trabajos de ingeniería, incluyendo varios países no mencionados en los documentos filtrados, según ha descubierto WIRED.

Los archivos, que incluyen entradas de Jira y Confluence, código fuente y correspondencia con una institución académica china, contienen principalmente documentación técnica interna, registros de operaciones y comunicaciones para resolver problemas y añadir funcionalidades. Proporcionados mediante una filtración anónima, los archivos fueron estudiados por un consorcio de organizaciones de derechos humanos y medios de comunicación, entre ellas Amnistía Internacional, InterSecLab, Justice For Myanmar, Paper Trail Media, The Globe and Mail, el Proyecto Tor, el periódico austriaco Der Standard y Follow The Money.

“Esto no se parece a la interceptación legal que practican todos los países, incluidas las democracias occidentales”, afirma Marla Rivera, investigadora técnica de InterSecLab, una institución global de investigación forense digital. Además de la censura masiva, el sistema permite a los gobiernos atacar a individuos específicos según sus actividades en sitios web, como haber visitado un dominio específico.

El sistema de vigilancia que Geedge vende «le otorga al gobierno un poder que nadie debería tener», afirma Rivera. «Es aterrador».

La base de la oferta de Geedge es una herramienta de puerta de enlace llamada Tiangou Secure Gateway (TSG), diseñada para integrarse en centros de datos y escalable para procesar el tráfico de internet de todo un país, según revelan los documentos. Según los investigadores, cada paquete de tráfico de internet pasa por ella, donde puede ser escaneado, filtrado o detenido por completo. Además de monitorizar todo el tráfico, los documentos muestran que el sistema también permite establecer reglas adicionales para usuarios específicos que considere sospechosos y recopilar sus actividades de red.

Según los documentos filtrados, el sistema puede interceptar información confidencial, como contenido de sitios web, contraseñas y archivos adjuntos de correo electrónico, para el tráfico de internet sin cifrar. Si el contenido está correctamente cifrado mediante el protocolo de Seguridad de la Capa de Transporte (TLS), el sistema utiliza técnicas de inspección profunda de paquetes y aprendizaje automático para extraer metadatos del tráfico cifrado y predecir si está pasando por una herramienta de elusión de censura, como una VPN. Si no puede distinguir el contenido del tráfico cifrado, el sistema también puede marcarlo como sospechoso y bloquearlo temporalmente.

Una captura de pantalla del panel de Geedge para Myanmar muestra que el sistema monitorea 81 millones de conexiones a internet simultáneamente, y teóricamente puede ampliarse aún más con más hardware, según investigadores de InterSecLab. Otros documentos muestran que, hasta febrero de 2024, los equipos de Geedge se habían instalado en 26 centros de datos de 13 proveedores de servicios de internet en Myanmar. Frontiir, un operador local de telecomunicaciones en Myanmar, negó previamente haber "construido, planeado o diseñado nada relacionado con la vigilancia", pero la filtración reveló que había instalado equipos de Geedge en su centro de datos. Investcom, un operador de telecomunicaciones conjunto entre empresas birmanas y libanesas, afirmó estar "al tanto de las afirmaciones relacionadas con tecnologías de terceros en Myanmar", pero se negó a "confirmar o negar la existencia de sistemas de terceros" en una respuesta escrita a los investigadores de Justice for Myanmar.

Geedge ofrece soluciones integrales contra la censura, incluyendo hardware de puerta de enlace a internet. Según InterSecLab, Geedge inicialmente utilizaba equipos de marcas occidentales de HP y Dell, pero posteriormente optó por hardware fabricado por empresas chinas para evitar posibles sanciones.

Otro producto fundamental de Geedge es Cyber ​​Narrator, la interfaz de usuario principal donde los clientes gubernamentales sin conocimientos técnicos pueden acceder a los datos que Tiangou Secure Gateway monitorea en tiempo real con una vista aérea, según muestran los documentos. En las capturas de pantalla del sistema encontradas en la filtración, los operadores de Cyber ​​Narrator pueden ver la ubicación geográfica de cada usuario de internet móvil según sus comunicaciones de servicio celular, así como analizar si el usuario accede a internet mediante servicios VPN.

En el caso de Myanmar, los registros internos revelan que Geedge identificó 281 herramientas VPN populares, con sus especificaciones técnicas, precios de suscripción y si se pueden usar en Myanmar. Un documento aparte identificó 54 aplicaciones con mayor prioridad de bloqueo. La lista de herramientas priorizadas incluye principalmente servicios comerciales populares como ExpressVPN y Signal , la aplicación de mensajería cifrada.

Los documentos muestran que la capacidad técnica de Geedge está creciendo rápidamente. "Estaba revisando las pruebas y [me di cuenta de que] pasaron de no bloquear la mayoría de las VPN a bloquear casi todas en cuestión de meses", según Rivera, basándose en las conclusiones de académicos con los que trabaja la empresa.

Si bien los documentos filtrados no contienen registro de contratos comerciales, sí mencionan a los clientes con nombres en clave crípticos. Los investigadores lograron identificar a cuatro de los clientes de gobiernos extranjeros en Kazajistán (K18 y K24), Pakistán (P19), Etiopía (E21) y Myanmar (M22) mediante el análisis de los documentos filtrados en busca de menciones a la ubicación geográfica de los centros de datos, el seguimiento de los registros de carga internacional de Geedge a otros países y la consulta de informes previos sobre la participación de empresas chinas en la venta de software de censura. Se menciona además a un cliente con el código A24, pero no hay pruebas suficientes para determinar a qué se refiere.

Las contrataciones públicas de Geedge podrían brindar más información sobre sus posibles planes de expansión. En una plataforma de contratación externa en China, Geedge está contratando a un ingeniero sénior de operaciones y mantenimiento en el extranjero para el mantenimiento de los sistemas en los países de la Franja y la Ruta. La oferta de empleo indica que podría requerir una estancia de tres a seis meses fuera de China, viajando a Pakistán, Malasia, Baréin, Argelia e India. Por otra parte, en marzo, la empresa también estaba contratando traductores de español y francés para apoyar las operaciones de Geedge en el extranjero.

En Pakistán, por ejemplo, un documento de renovación de licencia muestra que los servicios de Geedge, incluidas las capacidades para monitorear estadísticas en tiempo real y retener información de correo electrónico, fueron licenciados a la Autoridad de Telecomunicaciones de Pakistán en octubre de 2024. Otro ticket de soporte de Jira muestra el ejemplo de un correo electrónico interceptado, con todo el contenido, asunto, protocolo, archivo adjunto, nombres del remitente y el destinatario, y las direcciones IP involucradas.

Los investigadores creen que algunos empleados de Geedge pueden acceder a información interceptada por el cliente, lo que podría suponer un riesgo para la seguridad nacional de los gobiernos clientes.

La experiencia de Geedge en Pakistán también demuestra que está desarrollando productos con equipos interoperables para atraer a distintos clientes. Antes de la llegada de Geedge a Pakistán, el país había colaborado con Sandvine, una empresa canadiense que suministraba equipos de inspección profunda de paquetes antes de retirarse debido a las sanciones estadounidenses. Tras la salida de Sandvine, su hardware permaneció en centros de datos pakistaníes, según la filtración. Geedge se instaló para reutilizar la infraestructura existente, según muestran los documentos, lo que ofreció una transición hacia un nuevo régimen de censura que eventualmente se ejecutaría con hardware de fabricación china.

La capacidad y disposición de la empresa para trabajar con el hardware que dejó Sandvine debería ser una advertencia para los países que emiten licencias de exportación de tecnologías sensibles, afirma Jurre van Bergen, tecnólogo de Amnistía Internacional, organización sin fines de lucro dedicada a los derechos humanos: «Una vez exportado, ahí está, y lo van a reutilizar de alguna manera. Creo que esto refleja los límites de las sanciones».

Los investigadores advierten que no existe documentación real en la filtración que demuestre que el sistema de Geedge sea responsable de la censura de internet que tuvo lugar en un país en particular, pero cambios clave en las operaciones de los registros técnicos de Geedge corresponden a eventos notables. En Etiopía, por ejemplo, el sistema cambió de un modo que monitorea pasivamente el tráfico a un modo que puede detenerlo activamente "apenas unos días antes del corte de internet" en febrero de 2023, afirma Rivera. En total, la filtración muestra 18 ocasiones en las que el sistema de acceso de Geedge en Etiopía cambió de monitoreo pasivo a interferencia activa, lo que a su vez ralentizó los servicios.

Al mismo tiempo, el servicio VPN canadiense Psiphon, que según los documentos puede ser el objetivo del sistema de Geedge, ha corroborado los hallazgos de la filtración de que observaron cambios en el comportamiento de los usuarios en Myanmar que pueden ser causados ​​por un bloqueo masivo a nivel del proveedor de servicios de Internet, aproximadamente al mismo tiempo en que Geedge se implementó allí.

Si bien Geedge Networks puede ser desconocida tanto dentro como fuera de China, mantiene estrechos vínculos con quienes construyeron el controvertido sistema de filtrado y bloqueo chino, ahora conocido como el Gran Cortafuegos. Cuando Geedge Networks se fundó en 2018, tenía un nombre diferente, Zhongdian Jizhi, lo que demuestra su conexión con China Electronics Corporation (CEC), un enorme conglomerado estatal con estrechos vínculos con los servicios militares y de seguridad del país. (Zhongdian es la abreviatura de CEC en chino). CEC fue sancionada por el gobierno de Estados Unidos en 2020.

Lo que también conecta a las dos empresas es Fang Binxing , un informático chino a quien a menudo se le llama el "padre del Gran Cortafuegos", ya que lideró el desarrollo inicial del sistema de censura. El trabajo de Fang lograría esencialmente lo que el expresidente estadounidense Bill Clinton comparó con clavar gelatina en la pared: controlar una tecnología diseñada para brindar a todos el mismo acceso a la información. A medida que la tecnología se desarrolla, el Gran Cortafuegos también se ha construido más alto, bloqueando eficazmente el acceso de la mayoría de los chinos a información considerada políticamente inaceptable por el gobierno chino, sin importar si usan computadoras, teléfonos o incluso tecnología de vanguardia como modelos de inteligencia artificial.

En 2019, cuando Fang aún era director científico de CEC, se convirtió en inversor de la empresa Jicheng (Hainan) Technology Investment, con una participación del 40 %, según bases de datos de registros corporativos chinos. Jicheng invierte en Geedge Networks y comparte la misma dirección ejecutiva con esta última. En 2024, Fang fundó un nuevo estudio de investigación en ciberseguridad con la ayuda de Geedge, según informó el medio estatal chino Xinhua .

Geedge no solo exporta la censura china al extranjero, sino que reimporta las lecciones aprendidas en el extranjero para refinar la represión interna, según los registros. Años después de haber vendido tecnología a otros países, Geedge también comenzó a atacar a los gobiernos provinciales chinos para satisfacer sus necesidades específicas. Primera parada: Xinjiang.

La región, hogar de millones de musulmanes uigures, ha sido sometida a una intensa vigilancia digital por parte del gobierno chino durante la última década. Los documentos filtrados de Geedge muestran que la empresa colabora con instituciones de investigación chinas para ampliar los sistemas de monitoreo en la zona. El guion de un discurso pronunciado en la sede de Xinjiang de la Academia China de Ciencias en 2024, hallado en la filtración, menciona que «el cortafuegos nacional está evolucionando de un modelo centralizado a uno distribuido». Las fotos de la filtración muestran que la empresa ha invitado a estudiantes del Laboratorio de Análisis de Flujos Masivo y Eficaz (Mesalab), un laboratorio de investigación de la Academia China de Ciencias, a visitar la sala de servidores de Geedge en Xinjiang.

Este despliegue provincial en Xinjiang, identificado como J24 en la filtración, comenzó en 2024 tras un programa de pruebas inicial. Al igual que en otros países, los centros operativos de Geedge están integrados en las instalaciones de datos de telecomunicaciones de Xinjiang.

Mientras tanto, Geedge también ha implementado proyectos piloto en otras dos provincias chinas, Fujian y Jiangsu, según los registros filtrados. Capturas de pantalla y otros documentos de estos proyectos muestran que el sistema se centraba en la detección de sitios web fraudulentos financieros , algo que ocurre con mayor frecuencia en las provincias costeras orientales de China.

Además de recopilar información de tráfico a escala general e individual, el proyecto Xinjiang también estaba explorando algunas funciones experimentales. Una lista de características deseables encontrada en la filtración muestra que Geedge pretendía actualizar Cyber ​​Narrator para que pudiera construir gráficos de relaciones entre usuarios y grupos de individuos según las aplicaciones que utilizan. También planea triangular la ubicación de un usuario a través de estaciones de telefonía móvil y crear geocercas para ciertos usuarios, según los registros.

Otra función prototipo encontrada en la filtración se describe como una "puntuación de reputación" individual. Cada usuario de internet recibe una puntuación base de 550, que puede incrementarse autenticando su información personal, incluyendo su documento nacional de identidad, datos de reconocimiento facial y datos laborales. Si la puntuación de reputación del usuario no supera los 600, no podrá acceder a internet.

No está claro si estas características se han realizado e incorporado a los sistemas de vigilancia de Geedge implementados en China y en el extranjero.

El intento constante de Geedge de obtener información de individuos es particularmente preocupante, ya que la compañía también tiene la capacidad de inyectar malware en el tráfico de internet de los usuarios, afirma Lea Horne, otra investigadora de InterSecLab. "Esto facilita enormemente encontrar la manera de atacar a un individuo. En lugar de intentar adivinar qué sitio web visita que no es compatible con HTTPS, se puede simplemente revisar toda su actividad en internet anterior, encontrar un sitio web que no utilice habitualmente una conexión segura e inyectar malware en él la próxima vez que lo visite", explica. Y aunque algunas funciones se estaban probando en China, una vez que la tecnología esté madura, cualquier cliente extranjero podrá solicitar las mismas funciones en sus sistemas mediante una simple actualización de software.