Guillem Alsina Gonzàlez
Los muros que, a día de hoy, separan países, culturas y continentes, son tanto físicos como digitales. Entre los físicos podemos destacar la frontera entre las dos Coreas en el paralelo 38, el muro que separa Israel de Cisjordania (o la franja que separó Israel de Gaza hasta la presente guerra entre Israel y Hamás), o la verja que separa Melilla del resto del continente africano, y que recuerda a la que durante mucho tiempo también cortó el paso entre España y Gibraltar.
Entre los muros digitales, la gran referencia es sin duda el enorme cortafuegos con el que el gobierno chino impone la censura de contenidos procedentes del exterior a sus ciudadanos, y que se conoce habitualmente como Gran Cortafuegos de China, en una clara alusión al monumento de la Gran Muralla, otro de los grandes muros erigidos en el mundo, este procedente de la antigüedad como el Muro de Adriano.
El pasado jueves día 11 de septiembre, Geedge Networks (una de las empresas que trabaja para esta gran infraestructura tecnológica de censura) y el MESA Lab del Instituto de Ingeniería de la Información de la Academia China de Ciencias, sufrieron la filtración de unos 500 GB de material entre el que se incluye tanto código fuente, como registros de trabajo o comunicaciones, y que revelan detalles muy concetos del desarrollo y operación del cortafuegos.
Desde el laboratorio de seguridad digital InterSecLab, se han empezado a analizar estos documentos, publicando un extenso informe que demuestra que Geedge Networks comercializa y despliega capacidades comparables al “Gran Cortafuegos” para los gobiernos de Kazajistán, Etiopía, Pakistán y Myanmar, además de un quinto cliente no identificado. De los cuatro que tenemos el nombre, todos ellos reciben la clasificación de «regimen autoritario» en el índice anual elaborado por The Economist Intelligence Unit (EIU).
Otra cosa que tienen en común todos estos países es que se encuentran en la región geográfica de la Nueva Ruta de la Seda (Belt and Road).
Los más de cien mil documentos internos filtrados describen tecnologías de inspección profunda de paquetes (DPI), monitorización en tiempo real de abonados móviles, control granular del tráfico y reglas de censura ajustables por región.
El informe concluye que, aunque Geedge Networks se presenta como un proveedor de gestión de redes, su oferta habilita tanto apagones de Internet a gran escala como vigilancia y bloqueo dirigidos a usuarios concretos. Además de su actividad internacional, se recoge la aparición de un modelo de cortafuegos provincial dentro de China (por ejemplo, en Xinjiang, Fujian y Jiangsu).
El gran volumen de datos procedente de esta filtración, y sus amplias repercusiones, llevan a que InterSecLab continue analizando el material, y es posible que salgan nuevas conclusiones de este trabajo.
Qué vende Geedge y cómo funciona
El núcleo técnico del Gran Cortafuegos es el Tiangou Secure Gateway (TSG), un cortafuegos y gestor de tráfico de ámbito nacional. Según los documentos, TSG analiza tráfico IP, identifica y bloquea aplicaciones y VPN, modifica sesiones HTTP en tiempo real, y también puede filtrar o manipular comunicaciones de telefonía (SIP).
En cifrado TLS, combina desactivación selectiva mediante ataque man-in-the-middle —si el usuario instala un certificado local— y análisis por DPI y aprendizaje automático sin descifrado. TSG añade funciones de “throttling”, identificación individual de internautas detrás de CGNAT y bloqueo del tethering; asimismo, asigna “puntuaciones de reputación” a cada abonado en función de su actividad.
El paquete se completa con TSG Galaxy (un almacén de datos a escala nacional, construido sobre procesamiento de flujos e integrado con identificadores de red del operador) y Cyber Narrator, la interfaz de analítica/OLAP que permite al analista consultar por persona, ver patrones y localizar abonados por celdas en tiempo real; a esto se suman TSG-OS (sistema operativo propio con despliegue cloud-native), el packet broker Ether Fabric, y la plataforma de monitorización de equipos Network Zodiac.
El diseño de esta infraestructura permite, por ejemplo, consultar qué sitios web ha visitado un usuario concreto y detectar patrones asociados a herramientas de evasión.
Para el bloqueo de VPN y herramientas de elusión (incluidos Tor y Psiphon), Geedge mantiene un repositorio de “huellas” de servicios (AppSketch) y opera granjas de dispositivos para afinar reglas por proveedor; cuando el sistema no reconoce una aplicación, puede marcar grandes flujos cifrados como “sospechosos” y bloquearlos tras un periodo definido. El desarrollo de AppSketch Works busca generar perfiles de clasificación de forma automática, aunque los prototipos evaluados requerían de alta pericia técnica y mostraron errores de clasificación.
El informe describe además el módulo “DLL Active Defence”, el cual, y bajo apariencia defensiva, habilitaría ataques DDoS de refuerzo desde infraestructuras abiertas y equipos de usuarios convertidos en botnet mediante inyección en ruta. Esta capacidad, realmente ofensiva, permitiría hacer inaccesible un servicio más allá de las fronteras del país que opera el cortafuegos.
En el plano operativo, los despliegues se articulan en “centros nacionales” y centros regionales ubicados en los propios operadores. El sistema puede instalarse en modo pasivo (tráfico espejado), que no añade latencia pero no detiene flujos salvo por inyección, o en modo activo en línea, que sí introduce latencia y, en caso de fallo, puede interrumpir la conectividad, a cambio de un control total del tráfico.
Los equipos encargados de llevar a cabo la operativa se instalan en los centros de datos de los ISP locales, mientras que la gestión técnica se realiza mayoritariamente en remoto desde China; el acceso a datos por personal de Geedge y su compartición con estudiantes del laboratorio Mesalab figuran en la documentación, con implicaciones para la soberanía de los datos.
La compañía enfatiza la interoperabilidad con hardware comercial y estándares abiertos, lo que facilita operar sobre equipamiento existente y reducir el impacto de sanciones dirigidas a proveedores concretos. El informe también apunta al copiado de productos comerciales (como plataformas de inteligencia de amenazas) y a la incorporación de código abierto (de manera que podría entrar en conflicto con licencias), como táctica para acelerar capacidades y mantener la independencia de proveedores.
