SHIELD

Viajes

Viajar a China: modelo de amenaza honesto

Lo que la ley china impone, lo que ocurre en la práctica, y la preparación material mínima para un viaje profesional.

Publicado el 18 min de lectura Critical

Última revisión:

Skyline de Shanghái de noche

Pudong, terminal 2, cola de inmigración. El director general de una pyme industrial a la que acompañaba saca su iPhone para avisar a su contacto local de que ha aterrizado. WhatsApp gira en el vacío. Cambia a Gmail: nada. LinkedIn: nada. Su VPN de empresa muestra «conexión en curso» y luego abandona. Cuarenta minutos después, en el taxi, me llama desde el único canal que aún funciona —la itinerancia de su línea española, facturada a precio de oro— y me dice: «Nadie me había dicho que estaría sordo y mudo al bajar del avión.» Nadie, en efecto. Su agencia de viajes había gestionado el visado. No el resto.

Angle de lecture

La trampa habitual

«China es el extranjero con sitios bloqueados. Pongo un VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. y asunto resuelto.» Es la frase que oigo en las reuniones de preparación, nueve de cada diez veces. Contiene dos errores que, combinados, transforman un desplazamiento banal en un incidente.

Primer error: creer que su VPN funcionará. Las VPN comerciales de gran consumo —ExpressVPN, NordVPN, Mullvad, Proton— y la casi totalidad de las pasarelas de empresa estándar están activamente filtradas. El Great Firewall no se contenta con bloquear direcciones: hace DPIAtaque en el que un actor se interpone en una comunicación entre dos partes que creen estar en contacto directo. (inspección profunda de paquetes) y reconoce la firma de los túneles cifrados clásicos (IKEv2, OpenVPN, L2TP/IPsec) para cortarlos en unos segundos. Usted llega con una solución que nunca ha probado desde China, y no pasa.

Segundo error, más grave: reducir China a un problema de acceso. El verdadero asunto no es lo que está bloqueado, es lo que se recopila. Usted entra en un entorno donde el tráfico de red transita por equipos controlados por el Estado, donde la aplicación que todo el mundo le pide que instale analiza el contenido de sus mensajes, y donde el marco legal —la PIPLReglamento europeo 2016/679 sobre la protección de datos personales, aplicable desde mayo de 2018. en vigor desde noviembre de 2021— da a las autoridades derechos extensos sobre los datos tratados en el territorio. El viajero no preparado se encuentra simultáneamente cortado de sus herramientas y expuesto a un nivel de captación que nunca ha encontrado en otra parte. El VPN, en esta historia, es el detalle. El asunto es su modelo de amenazaCartografía de actores, motivaciones, capacidades e impactos potenciales contra un objetivo..

Hay una tercera capa, más insidiosa, y es la que atrapa a los perfiles técnicos. Muchos directivos parten con la idea de que «cifrarlo todo» basta. El cifrado protege el contenido en tránsito y en reposo, es cierto. Pero no protege ni los metadatos, ni el hecho mismo de que usted se comunique, ni el dispositivo en sí una vez que está físicamente en otras manos. Peor: en un entorno de control fronterizoRegistro de dispositivos electrónicos en las fronteras por las aduanas o la policía. o de registro, usar masivamente canales cifrados que usted se niega a abrir atrae la atención en lugar de evitarla. La seguridad en China no se gana por la opacidad máxima. Se gana por la reducción de la superficie: cuanto menos transporta, menos se le puede quitar.

Y luego está la negación de la realidad geopolítica. «Vendo máquinas-herramienta, no le intereso a nadie.» Posible. Pero sus patentes, sus precios de cesión, su lista de clientes, su estrategia de penetración del mercado asiático, esos sí interesan a alguien. El espionaje económico no apunta solo a los nombres que se leen en la prensa. Apunta a la pyme que posee un saber hacer de nicho, precisamente porque no se cree el objetivo y por tanto no ha preparado nada. El tamaño de su empresa no es un escudo. A menudo es lo que vuelve fácil la captación.

Lo que la ley impone, lo que ocurre en la práctica

Distingamos dos planos, porque se confunden permanentemente: el derecho escrito y la realidad operativa.

En el plano legal, la PIPL y la ley de ciberseguridad de 2017 imponen a los operadores chinos almacenar ciertos datos en el territorio y cooperar con las solicitudes de las autoridades. La ley de inteligencia nacional de 2017 va más lejos: su artículo 7 obliga a «toda organización y todo ciudadano» a apoyar y cooperar con el trabajo de inteligencia del Estado. Traducción concreta: un operador de telecomunicaciones, un hotelero, un editor de aplicaciones no tiene derecho a rechazar una solicitud de los servicios. No es teoría de la conspiración, es el texto. Cuando usted compra una SIM local, su pasaporte es escaneado y la tarjeta queda vinculada a su identidad —es una obligación legal, no un celo de comerciante—.

Hay que comprender bien lo que la PIPL cambia, porque a menudo se la presenta erróneamente como «el RGPD chino». En la forma, se le parece: consentimiento, finalidad, derechos de las personas. En el fondo, se distingue radicalmente por un punto que los juristas de empresa descuidan: las exenciones en beneficio del Estado. Allí donde el RGPD enmarca el acceso de las autoridades, la PIPL lo facilita. Los datos tratados en suelo chino son accesibles a las autoridades en un marco que usted no controla y que no puede impugnar desde el extranjero. Y la ley prevé restricciones sobre las transferencias salientes de datos: exportar fuera de China datos recopilados localmente puede requerir una evaluación de seguridad. Para una empresa que opera sobre el terreno, es un asunto de conformidad en sí mismo. Para el viajero, la consecuencia es más simple: lo que entra en China entra en una jurisdicción donde sus garantías habituales ya no se sostienen.

En el plano fronterizo, el poder de los agentes es amplio y discrecional. El registro de los dispositivos electrónicos a la entrada está documentado —en particular para los viajeros que llegan de ciertas regiones o que presentan ciertos perfiles—. La instalación forzada de aplicaciones de control ha sido reportada en puntos de paso terrestres, en particular en Xinjiang. La divulgación forzadaObligación legal de proporcionar contraseñas o descifrar dispositivos bajo amenaza de sanción. de las contraseñas no está enmarcada como puede estarlo en una democracia: no existe una protección robusta contra la autoincriminación oponible a un agente de seguridad del Estado. Negarse es arriesgarse a la confiscación, al interrogatorio prolongado, incluso a la denegación de entrada. Es precisamente por eso que la doctrina del dispositivo limpio no es un lujo paranoico sino la respuesta racional: no se negocia una contraseña bajo coacción si el dispositivo no contiene nada.

En el plano práctico, esto es lo que ocurre realmente. El Great Firewall bloquea permanentemente la totalidad de la cartera de Google (Search, Gmail, Maps, Drive, Meet, YouTube, Play Store), WhatsApp, SignalMensajería de código abierto con E2EE por defecto, operada por la Signal Foundation., Telegram, Facebook, Instagram, X, LinkedIn, Dropbox, OneDrive, y la mayoría de los sitios de prensa extranjera. Slack pasa de forma intermitente. A la inversa, WeChat se vuelve indispensable: es el teléfono, la mensajería, el pago, el código QR de entrada al restaurante. Ahora bien, las investigaciones del Citizen LabDisciplina que analiza las huellas digitales tras un incidente para reconstruir lo sucedido. han documentado de forma repetida que WeChat analiza el contenido de los mensajes —incluidos los de cuentas extranjeras— para detectar términos sensibles, y que esa vigilancia alimenta el filtrado del lado del servidor. Usted no está en una mensajería privada. Está en un canal observado por construcción.

Los metadatosDatos sobre los datos: quién escribió qué, cuándo, dónde, a quién., por su parte, se recopilan de forma continua y sin excepción: a quién llama, cuándo, desde qué antena, durante cuánto tiempo. Para un ciudadano extranjero de viaje, ese nivel de captación pasiva es el estado de base, no un riesgo hipotético. Y para los perfiles expuestos —periodista, abogado en un caso que implica activos chinos, directivo con intereses económicos significativos, investigador sobre un tema sensible— se pasa de la recopilación pasiva al objetivo activo: intentos de intrusión en los dispositivos, falsos puntos de acceso Wi-Fi, aplicaciones legítimas modificadas, vigilancia física.

Detallemos los vectores, porque «vigilancia» sigue siendo una palabra vaga mientras no se descompone. El primer vector es la red: todo lo que transita en claro por el Wi-Fi de un hotel, de un café o de un centro de conferencias debe considerarse leído. Los hoteles están legalmente obligados a registrar a sus clientes extranjeros ante la policía y a cooperar con las solicitudes de seguridad; suponer que su red es neutra no tiene ningún sentido. El segundo vector es la aplicación: las apps locales reclaman permisos muy amplios —contactos, localización precisa, micrófono, cámara, archivos— no por negligencia de desarrollo, sino porque es la arquitectura esperada. WeChat no es una mensajería que tendría un problema de confidencialidad; es una infraestructura de vigilancia que también presta servicio de mensajería. El tercer vector es el acceso físico: un dispositivo dejado sin vigilancia, aunque sea unos minutos, en una caja fuerte de hotel, sobre una mesa de reunión, en un coche, es un dispositivo expuesto a la clonación o a la implantación. El cuarto, reservado a los perfiles más expuestos, es el objetivo de software específico: el Citizen Lab ha documentado casos de periodistas y activistas cuyos dispositivos fueron comprometidos por malware distribuido a través de canales locales legítimos. Para esos perfiles, un dispositivo limpio no es una recomendación, es un requisito previo.

Lo que vuelve todo esto difícil de integrar para un directivo es la ausencia de señal. En Europa, una intrusión deja rastros, dispara alertas, abre un recurso. En China, la captación es silenciosa, legal, y sin contrapoder accesible. Usted no sabrá que le han leído. No lo sabrá jamás. Es exactamente por esa razón que la preparación debe ser a priori: no hay remediación a posteriori posible cuando se ignora incluso que ha pasado algo.

El buen diseño: entrar limpio

El cambio mental cabe en una frase: no se asegura un dispositivo cargado de datos en China, se entra con un dispositivo que no tiene nada que proteger. Es más simple, más robusto, y no depende de que tal o cual VPN pase este mes.

En concreto, la regla de base para todo desplazamiento profesional: entrar con un dispositivo que no tenga ningún acceso a sus datos de producción. Un teléfono de viaje con una eSIMSIM integrada y reprogramable, compatible con varios perfiles de operador. internacional precomprada —no una SIM local vinculada a su pasaporte— y un portátil de viaje dedicado, aprovisionado para la misión, vacío de todo lo que no sea estrictamente necesario sobre el terreno. Si el dispositivo no contiene nada sensible, ni la frontera, ni la caja fuerte del hotel, ni el análisis forense al regreso pueden extraer nada. Es la misma lógica que para los registros en las fronterasRegistro de dispositivos electrónicos en las fronteras por las aduanas o la policía.: la mejor protección contra la incautación de un secreto es no transportar el secreto.

«Dispositivo limpio» no quiere decir «teléfono viejo que anda por un cajón». Un dispositivo limpio se aprovisiona: sistema reinstalado de cero, cuentas de viaje dedicadas y no vinculadas a sus identidades principales, mínimo estricto de aplicaciones, y acceso a los documentos de misión vía nube después del cruce de la frontera en lugar de en almacenamiento local. Para un directivo, el reflejo inverso —«me llevo mi portátil habitual y borro dos o tres carpetas»— es el error clásico: los datos borrados son recuperables, las cachés de aplicaciones rebosan de información, y un llavero de contraseñas sincronizado da acceso a todo lo demás. Usted no aligera un dispositivo de producción, monta otro. Para los desplazamientos más expuestos, algunos llegan hasta el teléfono desechable (burner phoneTeléfono de prepago desechable utilizado para un objetivo puntual, luego abandonado.) reconfigurado o destruido al regreso, y hasta el aislamientoAislamiento físico: sin conexión de red entre un sistema y el resto de la infraestructura. total de los documentos más sensibles, que simplemente nunca cruzan la frontera.

El VPN sigue siendo útil, pero como herramienta de comodidad y conectividad, no como escudo. Y se prueba antes de la salida, desde China o a través de un servidor sobre el terreno, nunca desde Madrid. Los protocolos ofuscados (Shadowsocks, V2Ray, Trojan) resisten mejor el filtrado que los VPN estándar —es lo que usan las filiales de empresas extranjeras instaladas sobre el terreno—. Su estatus legal para un extranjero de paso es una zona gris (los VPN no autorizados son técnicamente ilegales), pero los procesos contra un viajero de negocios son raros. Punto capital: el VPN debe estar armado antes de cruzar la frontera. Una vez en el territorio, descargar o configurar una solución de elusión se vuelve mucho más difícil, ya que el propio acceso a las tiendas extranjeras está bloqueado.

Por último, el comportamiento sobre el terreno cuenta tanto como el material. Nunca hable de asuntos confidenciales por WeChat, ni siquiera con un socio de confianza. Las reuniones sensibles se celebran fuera, en un espacio abierto y ruidoso, no en una sala de conferencias de hotel ni en oficinas que usted no controla —es el estándar de los diplomáticos y los corresponsales extranjeros desde hace décadas—. Y el dispositivo nunca sale de su bolsillo durante una reunión: no dejado sobre la mesa mientras usted va a buscar un café.

Pago y comunicación: la doble restricción

El pago es la trampa logística número uno. Las tarjetas bancarias occidentales se aceptan en los grandes hoteles y algunos restaurantes internacionales, pero se rechazan en la inmensa mayoría de los comercios, restaurantes locales y transportes. La norma es el código QR: WeChat Pay o Alipay. Desde 2023, estos dos servicios aceptan el registro de tarjetas extranjeras (Visa, Mastercard), lo que ha simplificado mucho la vida del viajero —pero eso significa también vincular una tarjeta a una cuenta alojada en una infraestructura sometida a la PIPL—. La buena práctica: una cuenta dedicada al viaje, abastecida solo para la duración de la estancia, nunca su cuenta personal principal vinculada a toda su vida digital. Limita así lo que está expuesto a la duración y al perímetro del desplazamiento.

La comunicación sigue la misma lógica de compartimentación. Para contactar a sus socios locales, WeChat es ineludible —por tanto cuenta dedicada, contenido inocuo—. Para sus intercambios sensibles con su equipo en España, usted pasa por SignalMensajería de código abierto con E2EE por defecto, operada por la Signal Foundation. o un canal cifrado de extremo a extremoCifrado de extremo a extremo: solo el emisor y el destinatario pueden leer el contenido. vía su VPN ofuscado, sabiendo que estas aplicaciones están ellas mismas bloqueadas sin túnel. Y para lo realmente confidencial —una negociación en curso, un precio de cesión— nada escrito, nada almacenado localmente: una llamada de voz cifrada, o mejor, que espere a su regreso. La regla que lo resume todo: en el territorio, usted trata cada canal como si fuera público, y organiza sus secretos para que ningún canal los lleve.

Lo que esto implica en la práctica

Para usted, como particular

  1. Teléfono de viaje con eSIM, no el de uso diario — Compre una eSIMSIM integrada y reprogramable, compatible con varios perfiles de operador. internacional antes de la salida (Airalo, Holafly, unos treinta euros para dos semanas). A menudo enruta el tráfico fuera del Great Firewall, y sobre todo no está vinculada a su pasaporte como una SIM local. Idealmente, un segundo teléfono barato en lugar de su dispositivo principal repleto de cuentas.
  2. Cuenta WeChat dedicada a China — Cree una cuenta WeChat distinta, no vinculada a su identidad completa ni a sus contactos profesionales permanentes. Igual para Alipay: una cuenta de viaje abastecida solo para la duración de la estancia. Instale estas apps, y las apps locales tipo DiDi (taxi) o Meituan (restauración), únicamente en el teléfono de viaje —nunca en su dispositivo principal—.
  3. VPN ofuscado instalado y probado antes del embarque — Configure una solución ofuscada (Outline, que es Shadowsocks llave en mano, o un servidor V2Ray) y verifique que se conecta desde China, pidiendo a un contacto sobre el terreno que pruebe el mismo acceso. Coste: un pequeño VPS de unos euros al mes. Una vez en el territorio, será demasiado tarde para apaños.

Para usted, CISO / Dirección de TI / directivo

1. La PIPL hace de China una jurisdicción aparte en su política de viaje. La ley de protección de datos personales de 2021, combinada con la ley de inteligencia de 2017, da a las autoridades derechos extensos sobre todo lo que se trata en el territorio —y obliga a los actores locales a cooperar—. Consecuencia directa: usted no puede aplicar a China la misma política de compartimentaciónSeparar las identidades por uso (civil, profesional público, profesional sensible, operacional) para limitar la propagación de filtraciones. que a un desplazamiento intra-UE. Hace falta una cláusula dedicada, escrita, que defina explícitamente lo que no tiene derecho a entrar en el territorio.

2. El dispositivo de regreso es un dispositivo sospechoso hasta prueba de lo contrario. Todo material que haya transitado por China (o Rusia) debe tratarse como potencialmente comprometido. Consecuencia directa: prohibición de reconectar directamente a la red de empresa, reimagen sistemática del portátil de viaje, y procedimiento de regreso de misiónProceso estructurado de gestión de un incidente de seguridad: detección, contención, erradicación, recuperación. documentado —no un «tranquilo, lo llevé encima»—.

3. El briefing no es opcional para los perfiles expuestos. Un negociador en un caso sino-europeo, un directivo con activos significativos, un investigador sensible: estos perfiles pasan del riesgo difuso al objetivo activo. Consecuencia directa: briefing de seguridad con un interviniente que conozca el contexto chino antes de la salida, dispositivo aprovisionado limpio, y ningún almacenamiento local de datos sensibles durante la estancia —el acceso se hace vía nube tras la frontera, en conexión controlada—.

Para usted, dirección general

La Dirección de TI va a prepararle un dispositivo, configurar un VPN, entregarle una ficha. Es su oficio, déjeles hacer. Pero tres decisiones no son suyas. Son las de usted, porque comprometen un riesgo que solo usted puede aceptar.

Qué me llevo. No sus dispositivos habituales. No su teléfono repleto de diez años de historial, no el portátil en el que vive toda su vida profesional. Un material dedicado, preparado virgen para este viaje, que solo contenga lo que necesita sobre el terreno. La regla es simple: lo que no cruza la frontera no se le puede quitar.

Qué dejo. Todo lo que tiene valor. Y más que los documentos, sus historiales de comunicación. Sus hilos de discusión con su comité de dirección, sus intercambios sobre el caso en curso, sus mensajes con sus abogados. Ahí está la información estratégica, no en una presentación de PowerPoint. Un historial de mensajería dice más sobre su estrategia que un archivador de contratos.

Qué acepto perder. Hágase la pregunta antes de partir, no en el avión. Si le quitan sus dispositivos en la frontera, o si le piden desbloquearlos, ¿qué pasa? Si la respuesta es «nada grave, el dispositivo está vacío», ha preparado bien. Si la respuesta le hace un nudo en el estómago, ha llevado lo que no debía.

La Dirección de TI prepara el material. La dirección general decide el riesgo. No delegue estos tres arbitrajes: no son técnicos, son suyos.

Errores que se ven todo el tiempo

  • Probar el VPN desde casa. Funciona perfectamente desde casa. Es exactamente por eso que la prueba no demuestra nada. La única prueba válida es desde China.
  • Partir con su teléfono y su portátil habituales «porque solo es una semana». La duración de la estancia no cambia nada en la captación. Diez minutos de acceso físico a la caja fuerte bastan.
  • Comprar una SIM local por comodidad. Pasaporte escaneado, línea vinculada a su identidad, y tráfico en el perímetro del Great Firewall. La eSIM precomprada evita las tres cosas.
  • Hablar de un caso sensible por WeChat «porque el interlocutor es de confianza». La confianza del interlocutor no tiene nada que ver: es el canal el que está observado, no la persona.
  • Reconectar el dispositivo de regreso al VPN de empresa desde el aeropuerto, para «ponerse al día con los correos». Es el momento preciso en que un dispositivo comprometido contamina la red.
  • Creer que el RGPDReglamento europeo 2016/679 sobre la protección de datos personales, aplicable desde mayo de 2018. le protege allí. No se aplica. Es la PIPL la que rige el territorio, y juega en el otro sentido.

Checklist accionable

  • N1 Cartografiar lo que está bloqueado (Great Firewall) antes de la salida
  • N1 eSIM internacional precomprada — nunca SIM local con escaneo de pasaporte
  • N1 Plan de pago validado: Alipay/WeChat Pay en cuenta dedicada, o tarjeta utilizable sobre el terreno
  • N2 VPN ofuscado (Outline/V2Ray) instalado Y probado desde China antes del embarque
  • N2 Cuentas WeChat y Alipay dedicadas al viaje, no vinculadas a la identidad principal
  • N2 Apps locales (WeChat, DiDi, Meituan) en el teléfono de viaje únicamente
  • N2 Ninguna conversación de negocios confidencial por WeChat
  • N2 Reuniones sensibles celebradas en el exterior, nunca en la habitación ni en sala de conferencias
  • N3 Portátil de viaje dedicado, aprovisionado limpio, sin datos de producción
  • N3 Datos sensibles en la nube post-frontera, nunca en almacenamiento local sobre el terreno
  • N3 Briefing de seguridad específico para China para todo perfil expuesto antes de la salida
  • N3 Reimagen sistemática al regreso, ninguna reconexión directa a la red de empresa

Para profundizar

El Citizen Lab documenta desde hace años la vigilancia de WeChat y el ataque dirigido a periodistas y activistas —es la fuente de referencia para comprender los vectores concretos, más allá de las generalidades—. El texto de la PIPL traducido por DigiChina (Stanford) permite leer el derecho en lugar de suponerlo. GreatFire sigue en tiempo real el estado del filtrado, útil para verificar lo que pasa antes de partir. Por último, las recomendaciones de ciberseguridad en desplazamiento del INCIBE enmarcan la doctrina «dispositivo limpio» que sustenta todo este artículo. Para el aspecto material y el regreso, véanse también nuestros artículos sobre el portátil de viaje, la eSIM y el cruce de fronteras.

Fuentes y lecturas complementarias

Artículos relacionados