China, a la gresca con Alibaba por no informar de Log4Shell y toma represalias contra la conocida tienda dedicada al e-commerce.

Log4Shell está siendo, sin duda alguna, el gran protagonista de los últimos compases del año. Esta vulnerabilidad, encontrada en la herramienta Log4J y al cual usan cientos de empresas, está causando muchos dolores de cabeza. Ya tenemos ciberataques ransomware, de malware en forma de troyanos, y lo que nos espera… Mientras tanto, vamos a hablar de un caso bastante preocupante y que involucra a China y a Alibaba, la conocida tienda dedicada al e-commerce. El Ministerio de Industria y Tecnología de la Información chino ha anunciado la suspensión del acuerdo de colaboración público-privada que mantenía con Alibaba Cloud. Esta empresa, subsidiaria de Alibaba, se dedica al cloud computing y trabaja en el sector de la ciberseguridad y el intercambio de información. La suspensión será de medio año. Ahora bien, ¿Qué ha llevado a China a ejecutar este movimiento? China, a la gresca con Alibaba por no informar de Log4Shell.

Al parecer, la razón de este impasse entre China y Alibaba responde a la no reportación inmediata de esta vulnerabilidad al regulador de telecomunicaciones de China. El gobierno chino tiene una política muy estricta cuando se trata de informar sobre vulnerabilidades, siendo ellos los primeros de la lista. El procedimiento seguido por Alibaba Cloud Security Team, siendo uno de sus investigadores (Chen Zhaojun) el encargado de dar a conocer el fallo crítico, fue informar primero a Apache Foundation. Evidentemente, nos encontramos ante el modo correcto de hacer las cosas cuando se trata de comunidades de ciberseguridad y desarrolladores open source. Pero hay una salvedad, y es que China aprobó meses atrás una serie de regulaciones de divulgación de vulnerabilidades. Dichas regulaciones obligan a los proveedores de software/telecomunicaciones afectados por vulnerabilidades críticas a darlas a conocer primero a las autoridades gubernamentales. El tema es ciertamente escabroso, y complejo.

Ley Vs Procedimiento

China lleva varios meses aumentando sus medidas para reforzar su economía y el control que ejerce. Este movimiento abre la puerta a un debate que duraría horas: ¿Cómo debemos actuar ante un caso de esta índole? ¿Anteponemos la ley del país por el que, supuestamente, es el procedimiento correcto? ¿Damos prioridad a la empresa encargada del software o a un país? Se trata de un caso complicado, especialmente si se trata de una empresa de origen chino. Alibaba, aunque opere a nivel internacional, fue fundada hace más de 20 años en la ciudad de Hangzhou, donde posee sus oficinas centrales. El régimen chino es muy estricto en estos casos, por lo que tomar la decisión correcta, en situaciones como las que está generando Log4Shell, no es fácil. De momento, este caso concreto se ha saldado con un parón temporal en el acuerdo de colaboración público-privada que mantenían China y Alibaba.