viernes, 30 de marzo de 2012

Ataques mediante Redes Sociales


ATAQUES MEDIANTE REDES SOCIALES


  • Introducción.
  • Tipos de vulnerabilidades.
  • Propias de la plataforma.
  • Aplicación de terceros.
  • Webs de búsqueda de pareja.
  • Red acerrojada.
  • Tecnología Fast-Flux.
  • Datos en la nube.
  • Suplantación de identidades.
  • Modelos de negocio en el cibercrimen.
  • Los 5 fraudes más comunes en las redes sociales.
  • Descarga de malware.
  • Identidad falsa.
  • Robo de identidad.
  • Cuentas saboteadas.
  • Enviar y recibir spam.
  • Ingeniería Social.
  • Phising.
  • Simulación.
  • Doxing.
  • Noticia. Ataque de spam en Facebook.
  • Primer ejemplo práctico de técnica de Phising en Facebook.
  • Segundo ejemplo de ataque por Phising en Facebook.
  • Tercer ejemplo de ataque simple en Facebook.
  • Resumen de pasos para realizar un ataque desde Facebook.
  • Consejos al usuario para evitar problemas en Facebook.



Las redes sociales crecen en número de usuarios diariamente.

Las personas con más medios económicos usan estas redes más que la media de ciudadanos.

De esto se pueden aprovechar los delincuentes.

Las redes sociales han simplificado la labor del delincuente de dos formas:

  • Existe una falsa noción de confianza entre los usuarios y las aplicaciones de terceros en estas redes sociales.

  • El rápido crecimiento de las aplicaciones Web 2.0 han traido un aumento de vulnerabilidades.

Esta mezcla, da como resultado un campo abonado para el malware.

Los delincuentes están aprovechando los siguientes tipos de vulnerabilidades:

1. Vulnerabilidades de seguridad en la propia plataforma de la red social. Son los agujeros de seguridad propios de la aplicación.

Por ejemplo, un fallo de diseño de Facebook que permite explotar el código de autenticación mediante fotos de Facebook, permitiendo a un único spammer promocionar un fraude de Ipads a través del Muro de su víctima.

2. Vulnerabilidades de seguridad residiendo en una aplicación de terceros para la red social. Incluso una aplicación de terceros se puede transformar en una herramienta para promocionar malware. Hace unos meses, la empresa Sophos sufrió un ataque de "secuestro de clicks". En este tipo de ataques, el usuario asume que está recibiendo información de la aplicación más popular que circula entre sus amigos. La realidad es que tras esos botones se esconden los enlaces de Facebook de me gusta/no me gusta/compartir. Sin saberlo, el usuario víctima está votando por esa aplicación, además de favorecer la propagación del gusano.

3. Los fraudes por Phising se originaron en las redes sociales. Aunque parezca mentira, este viejo truco no muere. Los usuarios de Twitter, incluso los de perfil tecnológico alto, como el del Secretario de Estado de Energía del Reino Unido, han caído en estas campañas de phising. Los usuarios de Linkedln tampoco son inmunes, prueba de ello es el troyano Bugat.

4. Los motores de búsqueda de pareja o redes de contactos. Los usuarios de estas redes sociales a veces desconocen que están inscritos en webs maliciosas. Por ejemplo, búsquedas en Google motivada por los rumores sobre una aplicación, fueron usadas para incrementar el ranking de una web maliciosa. La parte irónica de este incidente es que nunca existió dicha aplicación fomentada por rumores.

Pero todos esos ataques son sólo unas pocas técnicas dentro de la caja de herramientas del delicuente informático.

El verdadero regalo que representan las redes sociales a la industria del cibercrimen es la habilidad de prosperar literalmente en las plataformas. Desde hace dos años la industria de la seguridad informática ha visto como las redes sociales son usadas para controlar los bots (ordenadores comprometidos).

Tomemos como ejemplo el descubierto botnet de Twitter Mehika, como escenario típico. La cuenta del delicuente se configura de la siguiente manera: Cuando llega la hora de atacar, el delincuente twitea a sus seguidores-robot y coordinadamente realizan su tarea de spam, realizan ataques DDoS u otro tipo de ataque según los deseos del delincuente. A la vez, las órdenes para comprometer otros ordenadores pueden superar los filtros de seguridad cuando son usados como actualizaciones de status en las cuentas de Facebook y Linkdln.

Red acerrojada. La infraestructura de comandos de una botnet resistente.

Los mantenedores de botnets no solo invierten en el mantenimiento de su elaborada red, sino que tambien invierten mucho esfuerzo en hacer que esas redes se resistan a su eliminación.

Investigadores de la RSA han encontrado redes robot que contienen código redundante y canales de control. La idea que subyace bajo esta clase de clausura de redes es que a pesar de derribar un canal, los robots de la red puedan continuar recibiendo comandos a través de otro canal. Esta red redundante ha probado su efectivad incluso después de la eliminación de la botnet Troyak. Al tiempo que se acerrojó esta red robot, unos días después volvió a surgir al volver a conectarla a Internet.

Tecnología Fast-Flux. Atrápame si puedes.

Pero el acerrojamiento de red no es el único método que tienen los delincuentes que usan redes robot, contra su apagado. En una botnet tradicional, las configuraciones de control y comandos, son recibidas por el ordenador comprometido desde un único servidor. Si ese servidor es detectado y eliminado, las máquinas zombis pierden su "cerebro". Así que los investigadores en Seguridad están constantemente en la búsqueda de esos nombres de dominio, antes de que los delincuentes los compren para sus propósitos. Como resultado los creadores/mantenedores de botnets están constantemente desarrollando nuevos métodos para evadir este tipo de detección.

El código de los troyanos ha ido variando en función de este juego de ratón y el gato. Al principio el código más primitivo intentaba registrar sus servidores de acuerdo a valores establecidos, pero hoy en día los códigos incorporan tecnología Fast Flux, una técnica en la que los servidores DNS son elegidos aleatoriamente.

Con esta tecnología Fast-Flux, no es de extrañar que 57.000 sitios web se crean cada semana. Por supuesto, no todas estas webs son servidores malignos, pero si que el Fast-Flux es el método que los "granjeros" de botnets estan usando. Como este método les funciona bien, se espera un incremento de botnets.

Con esta idea en mente, podemos intuir porqué la compañía eNom es el segundo registrador de dominios. eNom se considera que es el servidor que aloja el mayor número de webs maliciosas, según la web especializada HostExploit. A esto se añade el hecho de los robots están registrando URLs de manera automatizada y que el proceso de registro con eNom es simple. Con esto ya sabemos por qué eNom es tan popular.

Los delincuentes tecnológicos pueden tener diversos objetivos, no sólo económicos sino también ideológicos. Existe también ciberdelincuencia de algunos estados con funcionarios o patrocinados dedicados al ataque informático.

Datos en la nube

Los servicios que permiten al usuario almacenar información no en su ordenador sino en la web (fenómeno que se conoce como “la nube”) también son objeto de ataques. Entre ellos sobresalen las cuentas web de correo electrónico (Yahoo!, Gmail, Hotmail), álbumes de fotos (Flickr y Picasa en especial) o servicios de vídeos como Youtube o Vímeo. En estos casos, cuando se sale del entorno protegido del ordenador, si los servicios de almacenamiento no tienen la adecuada seguridad, se puede sufrir ataques que supongan robo o la pérdida de los datos.

Hay que tener en cuenta que aunque los servicios más importantes son incluso más seguros que el propio ordenador, muchos otros no tan conocidos pueden presentar vulnerabilidades en su código y en sus niveles de seguridad. Es recomendable, en consecuencia, saber en todo momento cuál es la información de la cuenta del usuario que es pública, así como las diferentes opciones de configuración de privacidad y seguridad existentes en estas plataformas. Estos datos deben estar visibles y a disposición de todos los usuarios del servicio.

Suplantación de identidades

Se han dado casos de delincuentes (“crackers”) que se han adueñado de la cuenta de Twitter del usuario para emitir mensajes falsos, e incluso insultantes para otros miembros de la popular red de microblogging, sin que el propietario de la cuenta pudiera recuperar su control hasta que el servicio decidió intervenir. Por otra parte, hay redes sociales, entre ellas Facebook, que permiten la creación e intercambio de aplicaciones de terceros dentro de la propia plataforma. Desde pequeños juegos online a votaciones y encuestas sobre perfiles. En determinadas ocasiones, estas aplicaciones se han convertido en una vía para distribuir programas ejecutables con código malicioso. Es decir, mientras la aplicación realiza una acción concreta, de forma oculta para los usuarios podría ejecutar cualquier otra acción, como enviar datos personales a un servidor externo. Las empresas de redes sociales tienen en cuenta estos problemas de seguridad para mejorar sus sistemas.


Modelos de negocios en el cibercrimen

Incremento de las ganancias. Mas datos igual a más dinero, Por lo tanto la lógica del ataque consiste en contra más ataques, más posibilidades de encontrar víctimas, así que el delincuenta automatizará todos los procesos.

Recortar gastos. Tiempo es dinero, así que los delincuentes aprovechan aplicaciones ya existentes que son modificadas a su gusto. Utilizan los servicios gratuitos de Internet para su provecho, por ejemplo los alojamientos gratuitos.

Marketing. Las aplicaciones son publicitadas en los foros de crackers para su mayor aceptación, uso y propagación. Incluso a través de propias webs comerciales creadas al efecto o mediante tutoriales en YouTube.

http://www.securityweek.com/social-networks-attack-platform-cybercriminals-love-social-media-too


Los 5 fraudes más comunes en las redes sociales

Los expertos en seguridad informática muestran preocupación por el rápido crecimiento de fraudes en redes sociales, a sus miembros en comunidades como Facebook, Myspace, Flickr y Linkedln.

No registrarse en estas redes sociales no garantiza protección ya que alguien puede abrir una cuenta a nuestro nombre.

De acuerdo con Scambusters, estos son los cinco tipos de fraude más comunes en las redes sociales.

1. Descarga de malware

Mantener redes sociales es un negocio muy competitivo con grandes beneficios procedentes de la publicidad, pero sólo a las mejores plataformas. Los administradores de las plataformas están constantemente actualizando sus funcionalidades.

Se permite a los miembros el instalar en sus perfiles, aplicaciones creadas por terceros. Estas aplicaciones suelen ser, por ejemplo, juegos, calendarios, animaciones, ...

El problema está en que muchas de esas aplicaciones perturban la seguridad del sistema.

Abren una puerta a los delincuentes para instalar spyware, troyanos o virus, que los propios inocentes miembros ayudan a propagar desde sus perfiles.

Los expertos creen que este es de lejos, el más común de los fraudes en las redes sociales. En un ataque sucedido en una de las redes más populares, el aparente enlace a un video, indicaba al usuario que debía instalar un plug-in. Efectivamente, este plug-in instalaba malware en el ordenador de la víctima y además enviaba un mensaje a cada uno de los "amigos" de su lista.

La esencia de una comunidad online es la confianza. La gente no se espera ser engañada por otros usuarios. Esto los hace muy vulnerables.

Los usuarios deben mantener su sistema siempre actualizado y no descargar nuevas aplicaciones de proveedores desconocidos.

Ejemplo de descarga de malware desde Facebook:

Un amigo de Faceboook tiene su cuenta comprometida, y desde ella nos llega el siguiente mensaje de chat:



Si utilizamos un servicio web de traducción de URLs cortas, vemos el verdadero enlace que se esconde tras lo que creemos que es una fotografía.



En la imagen anterior se observa que en vez de una fotografía lo que la víctima se descargaría es un archivo ejecutable, en contreto el Zeus Trojan que es uno de los botnets más populares para robar información como contraseñas, números de tarjeta de crédito, … Además es invisible a muchos antivirus.


De hecho, está probado con 18 antivirus y sólo 3 han detectado el archivo como malware.

2. Identidad falsa

Es fácil crear un perfil en cualquier red social. Para los delincuentes, esto significa una oportunidad para aparentar ser otra persona, tanto real como ficticia.

Los motivos pueden ir desde la diversión hasta algo siniestro.

A veces, los delincuentes utilizan la identidad de alguien real, usando información y fotos sacadas de Internet.

Antes de aceptar a un amigo en la red social, debemos comprobar con alguna pregunta de seguridad o similar su veracidad.

Los usuarios deben comprobar, por ejemplo vía Google, que detalles aparecen públicos y que pudieran hacerles vulnerables.

3. Robo de identidad

Además de la creación de identidad, los delincuentes tambien pueden captar datos reales de una parsona, a fín de "fabricar" todos los datos de identidad de una persona, por ejemplo: lugar y fecha de nacimiento, domicilio, teléfono, email, trabajo, familiares, fotos, ...

Tambien intentan mediante phising hacerse con las contraseñas de usuarios, teniendo en cuenta que hay muchas posibilidades de que usen la misma para distintas plataformas y webs.

La técnica más común es enviar un mensaje en la red que parece haber sido enviado por un amigo, invitando a ver su nuevo perfil.

Al hacer click, el enlace lleva a una web falsa que requiere hacer login de nuevo. En realidad, el usuario está enviando su usuario y contraseña al delincuente.

Estos riesgos se pueden limitar, no enviando demasiados detalles personales y observando las invitaciones sospechosas de otros usuarios.

Los usuarios deben prestar atención a los enlaces que conllevan escribir de nuevo el usuario y contraseña. Si la invitación llega por email, hay que contactar con el amigo para que confirme si el envío es realmente suyo.

4. Cuentas saboteadas

Es posible que el delincuente logre acceder al perfil de la víctima tras obtener su usuario y contraseña. A veces es por simple divertimento, cambiando las fotos. Otras veces instalan código invisible que puede ser usado para propósitos delictivos. Tambien pueden usar ese perfil como plataforma para spam.

En alguna ocasión, estas acciones son causadas por odio. Contra ex-parejas o por acoso escolar, haciéndose pasar por el usuario y realizando comentarios maliciosos, que en algunos casos han finalizado provocando enfermedad psicológica a la víctima.

Uno de los remedios para este tipo de ataque es usar contraseñas fuertes y además cambiarlas frecuentemente.

5. Enviar y recibir spam

Es común recibir mensajes de amigos promocionando productos para adultos (viagra, alargadores de pene, ...) o de otro tipo. El origen está en la instalación de malware sin su conocimiento. Al no saber que plug-in o aplicación es la causante, el spam se repite.

Pero el delincuente no solo utiliza la cuenta de la víctima para enviar spam a otros, sino tambien para hacerlo a la propia victima.

Especialmente en plataformas de negocios o profesionales, los detalles personales son filtrados para seleccionar usuarios en diversas áreas de interés y así bombardearlos con la publicidad adecuada a su perfil profesional o social desde otra cuenta configurada para ello. Son ejemplo las variaciones del fraude Nigeriano.

Alternativamente, los nombres y detalles son filtrados y combinados, elaborándose listas de personas con intereses específicos que son a su vez vendidas a otros spammers.

Las redes sociales son una gran invención y útiles para mantener o crear contactos tanto personales como profesionales, pero hay que impedir que los delicuentes lo aprovechen a su favor.


Ingeniería Social

http://www.scambusters.org/socialnetworking.html

La ingeniería social es otra herramienta usada por los ciberdelincuentes para extraer información valiosa de los usuarios. Esta ingeniería social puede lllevarse a cabo mediante simulación, phising, redes sociales, ...

La técnica más conocida y ya antes mencionada es el phising.

A nivel individual además de las redes sociales más conocidas, no hay que olvidar la información contenida en blogs personales.

El delincuente puede así obtener todo tipo de detalles, desde viajes y vacaciones, aficiones y hasta mascotas y sus nombres.

Los usuarios consideran importantes sus contraseñas, a veces ni eso, pero no tanto con otro tipo de información personal.

Esta información puede ser usada tanto para suplantar la personalidad en Internet como, por ejemplo, para averiguar la respuesta a las preguntas secretas de control para recuperar las contraseñas.

La simulación consiste en crear un escenario falso para engañar a la persona, esto puede hacerse tanto en la vida real, como por teléfono, como por Internet.

Como ejemplo, tenemos a aquel delincuente que usando la ingeniería social, creó un escenario ficticio a todos los niveles: una web, publicidad escrita, número de teléfono, cuenta en Twitter, en Facebook, etc... mostrando productos de Boda. Se inventó una Feria, cobrando por anticipado reservas tanto a visitantes como a empresas, en total unas 6000 víctimas.

Del mismo modo que los individuos, tambien las empresas estan sujetas a toda esta ingeniería social.

La solución pasa por la proactividad, la acción, y no la reactividad o pasividad. Tomar las medidas preventivas adecuadas, que a veces consisten en realizar las comprobaciones en el mundo real.

El Phising (pesca). Es una de las líneas de ataques más usadas. Proviene de la palabra inglesa "pescar", pues es lo que hace el delincuente, poner cebos y esperar a que piquen. Posteriormente se describen ejemplos de phising.

El doxing (documentación)

Este método está basado en la pura habilidad del delicuente en reconocer la información evaluable de su víctima y usarla en su propio beneficio. Está basada en la frase: "cuanto más sepas de su víctima, más fácil te será encontrar sus debilidades".

http://www.lodge4hacker.com/2011/07/doxing-hackers-information-gathering.html

Cualquier usuario de Internet va dejando información en algunas webs y redes sociales, por ejemplo:

actividades, cumpleaños, información de contacto, sexo, dirección IP, domicilio, nombre, gustos, trabajo, ...

Webs útiles para el Doxing

  • Pipl. Está diseñada para recabar información de lo más profundo de la web. Los robots de Pipl interaccionan con las bases de datos y extraen hechos, detalles e información relevante de los perfiles personales, directorios de miembros, publicaciones específicas, archivos de instituciones públicas, etc ...

  • Wink. Lo mismo que Pipl. Para encontrar personas por nombre y conseguir su teléfono, etc ...

  • 123people. Busca datos en tiempo real. Su algoritmo propietario busca entre texto e imágenes.

  • Zaba Search: Oro motor de búsqueda.

  • Whois. Herramienta para buscar en el directorio de registro de nombres de dominio.

  • Redes Sociales. Una de las mayores fuentes de información. Los sitios ya mencionados como Facebook, Google Plus, Hi5, LinkedIn, MySpace, Twitter, Badoo y Tuenti son fuentes pidiendo beber de ellas.

  • Buscadores. Diseñados para encontrar información en la Web. Ask, Bing, Google y Yahoo!.

Herramientas útiles para el Doxing

  • Maltego. Aplicación forense de código abierto para buscar y filtrar información y presentarla comprensiblemente.

  • Creepy. Aplicación de geolocalización de usuarios en las redes sociales.

La información conseguida mediante el Doxing se puede utilizar en los ataques por fuerza bruta, como archivo de diccionario para conseguir la contraseña, así como para averiguar la posible respuesta de seguridad de la víctima.

Noticia
Facebook ha explicado que el ataque de 'spam' que comenzó esta semana en la red social se debe a una vulnerabilidad en el navegador. Este ataque de 'spam' supone la publicación de imágenes pornográficas de personajes famosos e imágenes violentas y de abuso de animales en los muros de los usuarios sin su consentimiento. Este ataque comenzó este martes provocando el malestar de los usuarios de Facebook.
Según el portavoz de Facebook Andrew Noyes, los 'hackers' están ejecutando una vulnerabilidad del navegador que permite el denominado "self-XSS". XSS es la abreviatura en los círculos de seguridad de 'cross-site scripting'. Este 'cross-site scripting' permite a los atacantes ejecutar un código JavaScript en el navegador con el que se puede acceder y controlar el sitio web con el que el usuario está interactuando.
Desde Facebook aseguran que los usuarios eran tentados a copiar y pegar el código JavaScript malicioso en la barra de navegador web. Por el momento, aseguran que no conocen qué navegador es vulnerable en este momento. Teniendo en cuenta que el fallo no está dentro del sitio web de Facebook, parece haber sido bastante difícil para ellos detectar esta amenaza. En realidad, son los desarrolladores de los navegadores web quienes tienen que proporcionar una solución a esta vulnerabilidad.
El equipo de Facebook afirma que están trabajando con rapidez para determinar el comportamiento en las cuentas de los usuarios y cuántos usuarios se han visto afectados para poder borrar cualquier contenido malicioso. "Nuestros esfuerzos han limitado drásticamente el daño causado por este ataque y ahora estamos investigando para identificar a los responsables", asegura Noyes.


Primer ejemplo práctico de técnica de Phising en Facebook

Cada vez que publicamos un Link, ya sea en nuestro muro o en el muro de alguien más, se genera un contenido al cual Facebook llama “Vista Previa”.
Una vez copiado el link en el sector para hacer la publicación, la vista previa se genera sola y da información sobre la pagina a la cual redirecciona el link, léase Nombre de link + Dominio De Redirección.
Si quisiésemos, podríamos borrar el link del sector de publicación y que se vea solamente la vista previa. De esta forma solo bastaría con hacer un click en la Imagen o Link de vista previa para ser redirigidos.
Post Sin Link En Comments
De esta misma forma, podríamos publicar contenido Malicioso ya que Facebook nos permite “Linkear” más de 1 contenido por post, pero solo permite 1 vista previa.
2 Links en 1 Post
Como vemos en la imagen, aparece tanto el link + vista previa de Hotmail, y ademas aparece en el Comment el link para acceder al sitio de Gmail.
Ahora, aprovechando dichas facilidades otorgadas por la aplicación y haciéndose de los acortadores de URL, un atacante sería capaz de aumentar su probabilidad de infección mediante una UNICA publicación que contenga 3 direcciones:
  1. Link Malicioso
  2. Nombre del supuesto link al que se va a redirigir
  3. Link Original
Si observamos con detalle la imagen con redirección verdadera podemos distinguir lo siguiente:
  1. Texto de Comment de FB.
  2. Nombre de hipervinculo (Sign In)
  3. Link en texto plano (login.live.com)
  4. Comentario de la página
Si observamos con detalle la imagen con redirección falsa notamos:
  1. Texto de Comment FB + Short URL (A modo de PoC, redirige a gmail.com) —> Se incita al usuario a iniciar sesión desde el link
  2. Nombre de Hipervínculo (Sign UP) —> Si se apretara Sign Up, la redirección sería hacia el sitio Original , por eso su modificación para EVITAR de alguna forma que el usuario haga Click.
  3. Comentario de la página :
Si desea iniciar sesion, siga el LINK DE ARRIBA o el siguiente LINK: http://goo.gl/93aP6 . Para Crear una cuenta, pulse en SIGN UP
Segundo ejemplo de Phising en Facebook.
Redireccion Maliciosa
Si utilizamos algun servicio para “Descomprimir” el link recortado nos arroja el siguiente resultado:
Expand
Sitio Utilizado: http://longurl.org/
Como vemos en el resultado, la redirección se hace hacia http://login.liveS.com/ que no es lo mismo que https://login.live.com/, dando lugar a un ataque de Phishing.
Hay 4 factores clave en el ataque:
  1. Facebook nos permite escribir mas de 1 hipervínculo por publicación
  2. Facebook crea una “Vista previa” de la página
  3. Facebook dentro de la vista previa, hace un detalle del “Nombre de link” (Manipulable)
  4. Facebook nos permite la modificación del contenido de la publicación.
Hay 1 factor negativo en el ataque:
  1. El Hipervínculo de redirección original en vista previa, NO SE PUEDE MODIFICAR. Ergo, por más que el atacante cambie el nombre del link de redirección, si el usuario presiona sobre ese link va a ser redireccionado al original de todas formas.
Del factor negativo, deducimos (Muy fácilmente), que las probabilidades de efectividad, se reducen al 50%, ya que de 2 link con redirección 1 nos guía hacia un Sitio Atacante, y 1 nos guía a el Sitio Autentico. Sin embargo, como demostramos en el caso de Sign In/Sign Up, lograríamos una desviación “Semántica” de dicha redirección.
De los factores clave del ataque, podemos deducir:
  • Facilmente un usuario caería en la trampa por ser un phishing 0-day.
  • La Vista Previa aumenta la confiabilidad de la redirección
  • Facebook mismo aumenta la confiabilidad de la publicación
  • El “Nombre de Link” es la segunda clave del phishing ya que podemos modificarlo a nuestro antojo, aumentando así la confiabilidad por parte del usuario dispuesto a hacer Click.
Los usuarios deben leer atentamente la barra de estado posando el puntero sobre el hipervínculo para ver la dirección a la que apunta. Si es una “Short URL” ir a un sitio de expansión de links para ver la redirección original.

Tercer ejemplo de Phising simple para Facebook

Mediante spam, la víctima recibe un email de una cuenta creada aleatoriamente y que le empuje al error, tipo facebookprivacy@gmail.com, account_delete_facebook@gmail.com.

En este email, la víctima es informada de que ha sido denunciado por otro usuario y debe acceder a su cuenta para que no sea eliminada:

LAST WARNING : Your account is reported to have violated the policies that are considered annoying or insulting Facebook users. Until we system will disable your account within 24 hours if you do not do the reconfirmation.

Please confirm your account below:
[Link Removed]
Thanks.

The Facebook Team

Copyright facebook © 2011 Inc. All rights reserved.
At this point of time you might be wondering, how do users fall for these kind of scams, How are they redirected to these phishing pages. Now there are lots of ways how attackers do it, However Here is an example of a recent facebook account delete scam.

The victim is sent the above message from a random email address which appears to be something like facebookprivacy@gmail.com, account_delete_facebook@gmail.com, while looking at these email address the victims feels that the email is from a legitimate source.

En la siguiente lista encontramos ejemplos de páginas (phising) que simulan el formulario de login en Facebook:

http://www.sanagustinturismo.co/Facebook/
http://www.facebook.pcriot.com/login.php
http://deadlyplayerx.binhoster.com/Facebook/securelogin.php
http://facelook.shop.co/login.php
http://sigininto.horizon-host.com/facbook/facebook.php
http://custom-facebook.info/facebook.htm
http://www.profile.co.gp/facebook/photo.phpfbid=12447510&set=a.478812.I41224&type=1&theater.html
http://s6.mywibes.com/facebook.htm
http://www.fjtech.us/
http://myoneid.site90.com/
http://facedook.co.gp/wwwfacebookcomprofilephpid100001548737188.htm
http://faceebook-com.bugs3.com/login/Secured_Re-login/index1.html
http://facebooook.axfree.com/
http://combatarms.free.fr/
http://sweed.web44.net/
http://thekshitij.in/facebook/index1.html
http://addgames.awardspace.biz/
http://www.profile.co.gp/facebook/
http://www.sjscheat.com/Hosting%20blogger/facebook
http://h1.ripway.com/denal/
http://1337r00t.13.ohost.de/r00tw00tkn00wn/
http://faacebok.zapto.org/
http://h4ck3rgadungan.adfoo.info/index1.html
http://www.2498.b.hostable.me/
http://www.facebook.reekcreations.com/
http://wvw.facebook.com-photos.php.id.1574348425.jgold.in/
http://fan-pages.vgig.ir/facebook.com.home.php.sk-2361831622.applicationspage/
http://timkoch71.net46.net/1638765386283/facebook/
http://privacy-facebook-it.f11.us/check_privacy.htm
http://www.configsetting.com/facebook/login.htm
http://facebook-beta.kilu.de/facebooklogin.html
http://www.frfacebook.fr/
http://fun4iran.tk/facebook.unfiltered/Index.htm
http://login.eu.nu/facebook/photo.phpfbid=1248427590010&set=a.1292457490730.34590.1809072438&type=1&theater.html

El usuario y contraseña introducidos por la víctima se almacenan en un archivo de texto al que posteriormente accederá el delincuente.


Resumen de pasos para realizar un ataque mediante Facebook

Fase 1: Ingeniería social.

Información falsa contenida en un mensaje que busca la acción del usuario víctima.

El 36% de estos mensajes son del tipo: “¡tienes que ver ésto!”, un 26% está referido a material gratuito, un 19% a nuevas aplicaciones de FB y un 18% a eventos y acontecimientos.


Fase 2: Extender la amenaza

Mediante los botones “Me gusta”, “Compartir”, mensajes e invitaciones.

El 48% de los usuarios pulsan sobre “Me gusta” o “Compartir”. El 52% de los “Me gusta” y “Compartir” son generados por procesos automatizados y malware.

En el ejemplo, asumiendo que cada usuario tiene de media 130 amigos y que 5 amigos de cada usuario compartirán o les gustará el mensaje, … en pocas horas se puede llegar a más de 9 millones de usuarios.


Fase 3: Destino final.

Estos son los objetivos de los ciberdelicuentes:

El 74% son campañas de afiliación publicitaria o encuestas.
El 19% son cadenas de mensajes u hoax.
El 6% para otros propósitos, tales como esparcir malware, cambiar perfiles o aumentar el nº de “Me gusta”.



Consejos para evitar problemas en las redes sociales

Leer siempre las condiciones de uso y las cláusulas de privacidad para estar seguros de que el servicio tiene la calidad suficiente.
Buscar las especificaciones de seguridad y los protocolos de cifrado de datos. Si no están visibles, no conviene confiar en el servicio.
Ser parcos en la información que se ofrezca de manera pública. Conviene no hacer ostentación ni mostrarse demasiado dispuesto a intercambiar contactos y datos con desconocidos.
Ser selectivo con los nuevos contactos. No aceptar por norma a personas de las que no tengamos ningún conocimiento o referencia.
Nadie regala nada ni ofrece nada gratuitamente. Cortar de inmediato la comunicación ante sugerencias y ofrecimientos de tipo económico o sexual. Seguro que detrás hay una estafa.
No abrir mensajes que no ofrezcan confianza. Las empresas de redes sociales envían mensajes para aceptar contactos, usar nuevas aplicaciones o informar, pero nunca piden que les ofrezcamos los datos personales por correo electrónico.
En el caso de querer modificar algún dato, no hacerlo nunca desde la dirección que nos ofrece el servicio por correo electrónico, sino ir al buscador y desde allí a la página de inicio del servicio. Las direcciones que ofrecen en sus correos los delincuentes son tapaderas.
Evitar verificar contraseñas con terceros servicios. Es decir, no entrar a Twitter ni Facebook desde las contraseñas de Gmail o Yahoo! Mail.
Diversificar nombres de usuario y contraseña. Aunque resulte incómodo tener que guardar un registro de contraseñas, si usamos la misma en todos sitios, es mucho más fácil que entren en todos nuestros servicios.


Autor: Eloy De Frutos Perez, 2012

martes, 31 de enero de 2012

Exportacion de Tecnologia a China


EXPORTACIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES (TIC) A CHINA



Índice

  1. Introducción al mercado de China
  2. Negociación en China
  3. Preparación previa por la parte empresarial española
  4. Puntos clave sobre la protección de la propiedad intelectual
  5. Mejoras y actualizaciones
  6. Ingeniería inversa
  7. Métodos de exportación hacia China
  8. Restricciones en China a las importaciones tecnológicas
  9. El Certificado Obligatorio Chino de Criptografía (CCC)
  10. Lista de productos sujetos a certificación
  11. Documentación requerida para los productos TIC en las aduanas de China
  12. Relaciones y Acuerdos entre la Unión Europea y China
  13. Otros Diálogos y Comunicaciones entre Unión Europea y China
  14. Estrategias europeas
  • Estrategias empresariales de línea de producción
  • Estrategia crediticia europea
  • Estrategia política europea
  1. Delegación de la Comisión Europea en China
  2. Oposición de otros países a las políticas chinas
  3. Empresas españolas en China
  4. CHINEKA. Programa Bilateral Hispano-Chino de Cooperación Tecnológica
  5. Organismo en España para la certificación de seguridad de productos TIC
  6. Conclusiones

Introducción al mercado de China

El Gobierno Chino promociona la transferencia legal de tecnología a la vez que apoya la innovación de sus empresas nacionales. Al paso de los años, acceder al mercado chino llevándoles tecnología extranjera ha resultado un éxito para muchas empresas europeas.

Lamentablemente, con algunas empresas chinas que buscaban tecnología, a veces de países europeos, se han producido pérdidas en cuanto a propiedad intelectual y/o en cuanto a infracciones a las leyes chinas. La protección de la propiedad intelectual perdida a través del sistema judicial chino ha funcionado a medias. Como conclusión, las empresas europeas que no mediten cuidadosamente sobre como proteger su propiedad intelectual al transferir tecnología a China, podrán sufrir pérdidas de competitividad y cuota de mercado a medio y largo plazo, como resultado de perder su propiedad intelectual a favor de sus competidores chinos.

A pesar de que la situación de la protección de los derechos de propiedad intelectual ha mejorado, todavía se encuentran muchos problemas y aspectos preocupantes en el funcionamiento de las empresas extranjeras en China. Los problemas radican ya no tanto en la normativa como en la aplicación de la misma o en la falta de celo administrativo y policial demostrado en algunos casos por los organismos responsables de estas gestiones.

Uno de los principales objetivos del Undécimo Plan Quinquenal de China es garantizar una suficiente rentabilidad de las inversiones en innovación mediante la protección de los derechos de propiedad intelectual. Por ello, China está revisando varios instrumentos legislativos, como la Ley de Patentes y la Ley de Marcas de Fábrica o de Comercio, a fin de lograr un equilibrio apropiado entre la protección de los derechos de propiedad intelectual y la promoción de la competencia. Se ha fortalecido la observancia de la protección de los derechos de propiedad intelectual, aunque se siguen planteando interrogantes sobre la suficiencia de las multas y sanciones penales para impedir las infracciones de los derechos de propiedad intelectual.

Prueba de esto es el hecho de que en el último examen de China en la Organización Mundial del Comercio Trade Policy Review éste fue uno de los problemas suscitados. Igualmente es un tema tratado prioritariamente en los contactos con la Unión Europea y con Estados Unidos.

En lo que respecta a las indicaciones geográficas y denominaciones de origen, la Unión Europea ha estado discutiendo con las autoridades chinas de manera bilateral y multilateral.

Por ejemplo, en el área de productos alimenticios, los progresos se han hecho de forma bilateral: en Julio de 2005, la Comisión Europea y el Ministerio de Agricultura chino firmaron una Declaración Conjunta estableciendo un diálogo sobre agricultura. Este diálogo proporciona el marco para discutir la cooperación administrativa y registro de denominaciones geográficas en ambos territorios. Sin embargo, parece existir una cierta confusión competencial entre la Agencia para la Supervisión de la Calidad, Inspección y Cuarentena (AQSIQ) y la Oficina China para Marcas Comerciales (CMTO) en materia de denominaciones geográficas. Esto impide que el Ministerio de Comercio (MOFCOM) pueda realizar mayores progresos en negociaciones internacionales en la materia.

Las oportunidades en China son enormes: fuerte inversión pública (24.000 millones de dólares), incremento de la capacidad adquisitiva de la población, medio ambiente, urbanización, servicios, etc.

Pero China es un mercado extraordinariamente complejo, burocrático y competitivo. Es un país con características propias, en donde las reglas del juego son distintas a las de otros países, y conocer estas reglas será indispensable para desarrollar negocios en China. Además, la imagen de país "España" no es positiva y el peso del sector público es muy fuerte en casi todos los sectores.

La organización de una red de distribución será uno de los problemas más importantes que encontraremos en China (en general, está mal organizada y muy segmentada). Además, sólo las empresas extranjeras con inversión en China están autorizadas a crear redes propias de distribución.

Sin embargo, la entrada de China en la Organización Mundial de Comercio conlleva una serie de ventajas: reducción del arancel medio al 9,4%, eliminación de las cuotas y licencias de importación, las compañías extranjeras pueden entrar en el negocio de la distribución (permitiéndose el establecimiento de empresas de capital 100% extranjero en los sectores de distribución, ventas, marítimo y servicios), mayor uniformidad en la valoración aduanera, menor incertidumbre legal y mayor transparencia, protección de la propiedad intelectual e industrial, etc.

Las industrias de alta tecnología se han convertido en las principales fuerzas de crecimiento industrial de Beijing. Muchas de las 500 empresas más importantes del mundo se han implantado en la capital: Intel, Microsoft, Motorola, Sun, AMD o Hitachi, casi todas ellas en el distrito de Haidian. Haidian alberga el Parque de las Ciencias, que es el más importante sub-parque del Parque Científico de Zhongguancun, a menudo conocido como el “Silicon Valley de China”. El Distrito de Fengtai es también un lugar importante de la industria de alta tecnología.

Gran parte del éxito chino en su crecimiento tecnológico se debe a las generosas condiciones de crédito a la exportación concedida por el Estado chino a sus empresas, con un objetivo claro:

  • Convertirse en líderes mundiales en sectores de alta tecnología.

Estas condiciones se traducen en:

  • 200 por ciento del valor de las exportaciones en forma de préstamos a tasas de interés competitivas.
  • Periodos de gracia.

En cuanto a telecomunicaciones, la estrategia china es también clara: convertirse en los campeonas de la alta tecnología usando su programa R&D 863, reducción fiscal y créditos a la exportación. Merced a la globalización, se verá una reducción en los vendedores de equipos de telecomunicaciones a quizás tres grandes empresas, de entre las que estarán las chinas Huawei y ZTE.


Negociación en China

Hasta hace poco tiempo, China no ha sido un país en el que las relaciones comerciales se formalizasen en contratos o legislaciones, sino en las relaciones y contactos personales así como en la confianza entre las partes (el GUANXI).

Dos frases resumen este concepto:

- "Primero nos conocemos, después podríamos llegar a ser amigos, y si lo somos podremos hacer negocios"

- "El negociador chino no hacen negocios con quien no conoce personalmente. Viajar a China será imprescindible (y en más de una ocasión...)"

Sin los contactos necesarios será difícil hacer negocios en China, tener buenos contactos facilitará por ejemplo la obtención de permisos o licencias, y en general cualquier trámite.

La elección del "guanxi" más adecuado deberá ser el resultado de la estrategia de la empresa para China. El guanxi deberá ser además un excelente profesional con un conocimiento profundo del mercado.

China es un país de cultura de contexto alto, en donde las palabras tienen menos importancia y más el contexto; los negocios son mucho más lentos, ya que es necesario establecer una relación personal que establezca una confianza entre las partes.

El índice de individualismo de China es el más bajo de Asia, esto puede ser atribuido en parte, al elevado nivel de colectivismo de esta sociedad debido a la influencia del comunismo. La lealtad en una cultura colectivista es absoluta. La sociedad fomenta las relaciones fuertes donde cada uno toma la responsabilidad del resto de miembros del grupo.

En los análisis de Hofstede, China tiene el índice de orientación al largo plazo (Long-term Orientation -LTO) más elevado. Este dato indica que la sociedad China afronta el tiempo con perspectiva y perseverancia, superando los obstáculos con tiempo, voluntad y/o fuerza.

Suele ser habitual en las negociaciones con los chinos que formen grupos de personas, en donde en muchos casos será complicado discernir quien toma realmente las decisiones, incluso pueden participar funcionarios del gobierno. Normalmente el equipo negociador chino estará formado por un grupo técnico (recaban información y generar informes para sus jefes) y comerciales.


Preparación previa por la parte empresarial española

Preparación: recopilar y estudiar toda la información a su disposición para trazar un Plan de Negocios adecuado para entrar en China. Se hace preciso señalar que China no es un país en el que una empresa pequeña o mediana deba iniciar su andadura por el comercio o la inversión en el exterior.

Cultura: se hace necesaria una introducción a la cultura, a la historia antigua y reciente china para demostrar a nuestros interlocutores chinos nuestro interés por el país. También ayudará el conocer alguna palabra en chino, el saber utilizar los palillos y algunos trucos para evitar beber las cantidades ingentes de alcohol blanco con el que brindan los chinos durante los banquetes.

Conocimiento técnico: contratar a profesionales independientes o consultores puede ser muy útil en la definición y ejecución de la estrategia de entrada en China, tanto comercial como inversora.

Parada en Hong Kong: sería interesante, en el primer viaje, una visita a algún consultor o bufete de abogados en esta Región Administrativa Especial de Hong Kong donde podrá comprobar que es el lugar de China donde mejor se conoce y se asesora sobre China.

Apoyo: se hace absolutamente necesario el contar con el apoyo de las Oficinas Económicas y Comerciales de España en China para el desarrollo de un Plan de Negocios y para el desembarco y primeros pasos en China, será útil el conocimiento acumulado de los funcionarios y empleados que trabajan en ellas.

Además hay que tener en cuenta que el apoyo institucional es muy importante en un país en el que la Administración tutela una buena parte de la actividad económica.

Una visita a una de las cuatro Cámaras de Comercio de España se hace necesaria para poder contactar con empresas españolas del mismo sector, así como una conversación en profundidad con alguna de las ya instalada en el país.

Tenemos que entender que la educación actual sirve en China como sistema de memorización de hechos, la memoria es importante aunque lo más reseñable es la falta de creatividad y originalidad del sistema educativo. Se conoce más a China por las copias de productos que realizan sus empresas que por la producción de productos originales.

La protección de la propiedad intelectual es un concepto poco apreciado en China donde culturalmente la copia se ha ensalzado durante milenios en campos como la pintura, la porcelana, etc. Por ello parece evidente que hay que registrar la marca extranjera en China, incluso cuando no se venda activamente en China pues la empresa extranjera en China es muy vulnerable a la falta de protección. Es preciso que entendamos que hay dos conceptos básicos a explicar y que se mantienen en el subconsciente del chino.

El primer concepto es el de tiyong, que es un concepto confuciano que se aplicó en el siglo XIX y por el que se describe el método del movimiento de auto consolidación. En 1898, Zhang Zhidong publicó su trabajo Exhortation to Study. Insistió en un método para hacer una reforma relativamente conservadora resumida en la siguiente frase: ”Estudio chino para los principios fundamentales y estudio occidental para la aplicación práctica (Zhongxue Wei Ti, Xixue Wei Yong). Su práctica suponía que se necesitaba el conocimiento chino de la esencia (ti), subyacente en la sociedad y el conocimiento occidental para la aplicación práctica (yong) en el desarrollo económico. Se volvió a aplicar a finales de la década de 1970 en la apertura de China al exterior como base de la política de puertas abiertas.

El segundo es el referente a la transferencia de tecnología. Según la tradición china, el conocimiento pertenecía a toda la sociedad y las personas con conocimientos especiales estaban obligadas a enseñarlos, previo pago para su sustento. Por esta razón a los chinos (incluidos a los jueces de tribunales chinos) les cuesta entender los conceptos de patentes y copyright. El mérito de un artista chino era ser capaz de copiar una obra de otro artista anterior, e incluso una de las reglas de la pintura indica el esfuerzo que tienen que hacer los principiantes en copiar a los pintores consagrados. Respecto a la transferencia de tecnología, los chinos conservan la mentalidad de que tienen enfrente a países tributarios más ricos que deben regalar sus conocimientos al país. A lo largo de muchos años de experiencia con empresas que deseaban trabajar en China he aprendido los varios subterfugios que las empresas extranjeras ponen en funcionamiento al enfrentarse a la probabilidad cuasi cierta de que sus máquinas o sus productos finales sean copiados.

Hay que tener en cuenta que el registro de una marca es necesario pero no es suficiente para protegerse de las copias. Por esa razón las empresas deben ser conscientes de las limitaciones y riesgos que lleva aparejada la fabricación de cualquier producto en China y por lo tanto los costes de deslocalizar a China parte de la producción así como limitar dentro de lo posible el riesgo de perder sus derechos de la propiedad intelectual.

El depositar en el SIPO (organismo público chino que actúa como una Oficina de Patentes) tranquilizaría normalmente a la empresa que lo deposita al pensar que este organismo realiza una investigación sobre la patente. El problema aparece cuando el SIPO no realiza su investigación, lo que da ventajas a los falsificadores de patentes.

La posible solución sería incluir una cláusula de arbitraje en el contrato original para que sea la Trade and Arbitration Commission de Hongkong la que delimite las responsabilidades, dado que su decisión se acepta por las autoridades del continente y que tiene especialistas entrenados en países occidentales. De esta manera se evita la complicación de los tribunales chinos, que tienen la tendencia de dar la razón a sus nacionales al estar la carga de la prueba de copia en la parte extranjera.

Se pueden vender los derechos y know how (conocimiento) directamente a la joint venture bien mediante pago al contado o mediante pago como licencia.

Se puede importar maquinaria para producir un determinado producto que por su tamaño y/o complicación no pueda ser copiada en China.

Se debe realizar únicamente una parte del proceso completo para la terminación del producto cuya tecnología no puede ser utilizada para fabricar en principio otros productos que pudieran competir con los que produce la empresa extranjera.

Se puede importar únicamente productos base, de composición secreta, para la fabricación de algún producto final o solamente partes de un producto final que se termina fuera de China.

Otra posibilidad que se ha utilizado en multitud de ocasiones es ceder una tecnología de primera generación a la joint venture para productos que a pesar de que no tienen la última tecnología siguen siendo competitivos en el mercado chino o en mercados de exportación de países emergentes de África, Asia o América Latina.

También en múltiples ocasiones se han dejado en la casa central los planos del producto a fabricar en China, importando maquinaria o tecnología preparadas para su instalación pero sin planos ni especificaciones. Esto se hace cuando se tiene poca confianza en los socios locales. Los costes de reparación de los equipos en estas condiciones se incrementan pero en algunos casos compensa ante la alta probabilidad que la maquinaria o equipos se copien.

Otra última posibilidad es no aportar a la joint venture la última tecnología y solamente ceder tecnología para aquellos procesos que requieren de poca propiedad intelectual como empaquetado, montaje, etc. Y siempre que la propiedad intelectual de esos procesos a realizar por la joint venture en China se puedan separar claramente.

Es preciso estar seguro de cuál es la tecnología que está en boga en el mercado chino, ya que posiblemente éste no requiera tecnologías de última generación.

Es preciso, cuando hablamos de tecnología, tener muy buena relación con las autoridades locales que podrán ayudar, si fuera el caso, a perseguir falsificaciones.

Respecto a las compras por la administración pública china, hay que tener cuatro aspectos muy en cuenta:

  • En general todas las decisiones relacionadas con la compra de bienes y servicios por parte del gobierno se hacen hasta ahora en base al origen o desarrollo de la propiedad intelectual de los bienes y no a su bondad.
  • En general existe discriminación ante productos innovadores producidos en China por fabricantes extranjeros.
  • En general existe también relación entre las políticas de innovación del gobierno y las preferencias de compras públicas que discriminan contra empresas extranjeras.
  • Existe también discriminación, a favor de la producción local, en los criterios utilizados para seleccionar equipo industrial del catálogo preparado por el Ministerio de Industria y de la Tecnología de la Inversión, criterios basados en la llamada “innovación indígena”.

La solución de estos últimos cuatro problemas se está negociando con China no solamente por la Unión Europea sino también por los Estados Unidos, como señaló la nota de la Casa Blanca al finalizar la visita de estado del presidente Hu Jintao a Washington en enero de 2011.



Puntos clave sobre la protección de la propiedad intelectual

  • Encontrar potenciales socios complementarios y no socios que ya estén posicionados competitivamente.
  • Estructurar los diseños a fin de minimizar los riesgos de pérdida de P.I., separar los roles, por ejemplo de diseño del producto de los de fabricación. Usar la implementación por fases. Mantener los componentes de tecnología crítica en España.
  • Documentar correctamente la licencia de P.I. y su transferencia de tecnología, incluyendo documentos, demostraciones, gráficos, ...
  • Registrar las patentes de tecnología antes de llevar la tecnología a China.
  • Siempre que sea posible, usar diferentes fabricantes para distintos componentes. Mantener los componentes críticos en España, y finalmente ensamblarlos en el punto más seguro.
  • Los empleados deben firmar contratos de confidencialidad, de recompensas económicas, de invenciones propias, … Se les deberá proporcionar formación sobre protección de la P.I.


Mejoras y actualizaciones

Una de las partes más conflictivas en las cláusulas de los acuerdos de transferencia de tecnología es la relativa a la creación de mejoras o actualizaciones y la propiedad de esas mejoras realizadas por la parte china de la sociedad creada. Esto es importante debido a que las mejoras en la tecnología transferida a veces son extremadamente valiosas y forman la base de cooperación entre ambas partes. Como resultado, la parte china querrá poseer todas las mejoras creadas para el producto. Es por ello que hay que tener en cuenta varios puntos importantes de la legislación china:

  • La P.I. creada por comisión o encargo pertenece a la parte comisionada, a menos que en el contrato se estipule que quien comisiona o encarga la tecnología será el poseedor de la I.P. Por lo tanto, es imortante reflejar en el contrato que P.I. va a ser desarrollada y a quien pertenecerá.
  • Las mejoras pertenecen a la parte que realiza dichas mejoras (china) y no pueden ser otorgada a la parte que contrata (española) sin que no haya algún tipo de compensación o sin que no haya concesión de algún tipo de licencia a la parte que realiza las mejoras. Esto significa que la propiedad de las mejoras realizadas serán automáticamente de la parte china.
  • No se puede restringir a la parte china su capacidad de realizar mejoras a la tecnología transferida y que use éstas.

Todo lo que implican estas tres normas es parte de la problemática que tienen las empresas europeas a la hora de transferir su tecnología a China. Como la ley china permite a los socios chinos realizar y usar las mejoras y actualizaciones creadas por ellos, los socios europeos se cohíben a la hora de llevar su tecnología a China.

Por lo tanto es clave, el apoyo jurídico a la hora de de estructurar los términos del contrato, para delimitar sin dudas los términos antes descritos.



Ingeniería inversa

Además de ser cuidadosos con lo relativo a las mejoras de la tecnología transferida, también se ha de tratar el tema de la ingeniería inversa, que es básicamente desarmar por piezas el producto de hardware o software con el fin de estudiarlo y copiarlo.

  • La ingeniería inversa está permitida en la ley china y no se considera delito ni apropiación indebida de secreto comercial. Por ello, los contratos de transferencia de tecnología deben incluir la limitación o prohibición de realizar ingeniería inversa por parte del socio chino
  • Registrar todas las patentes, marcas, derechos de autor, diseños, … no solo en la UE sino también en China.
  • Asegurar de que todas las transferencias de conocimiento se hacen con una base legal clara para todas las partes, definiendo de forma precisa y detallada la forma y el fondo de las transferencias, incluyendo todas las formalidades y documentación.

  • Antes de la transferencia de tecnología, asegurarse de la firma de un acuerdo de confidencialidad.
  • Obligar al socio chino a cumplir con todas las normas administrativas vigentes en importación e importación de tecnología.
  • Especificar en el contrato que los distribuidores no deben vender los productos a terceros sin la autorización del socio español.
  • Limitar, en la medida de los posible, el número de sub-licencias.

Hacer uso, para aconsejar y solucionar cualquier problema, de:

  • la Oficina IPR SME China (ayuda sobre Derechos de Propiedad Intelectual) http://www.china-iprhelpdesk.eu/,
  • las oficinas comerciales de la Embajada de España,
  • la oficinas comerciales de la Delegación de la Comisión Europea.



Métodos de exportación hacia China

Inversión extranjera directa:

La tecnología puede ser exportada hacia China también a través de la inversión directa, mediante la asociación con una empresa china o mediante una empresa totalmente extranjera en China; teniendo en cuenta que no toda la tecnología está permitida a las empresas de capital totalmente extranjero.

Tipos de empresa:

1º) Autorizar la licencia a una empresa china. En este caso el control sobre la propiedad intelectual será la menor.

Se puede optar por una "estrategia modular" que consiste en utilizar varios socios chinos, y cada uno comercializará diferentes componentes de los productos españoles.

También se puede usar la "implementación por fases", así se puede examinar el comportamiento del socio chino antes de transferirle tecnología adicional.

2º) Con una empresa asociada o joint venture la estrategia modular y de implementación por fases están limitadas ya que la eficacia de una empresa asociada requiere entregar el producto completo. Además existe el desafío de transferir la tecnología a la vez que se previene la pérdida de propiedad intelectual hacia el partner chino. Es común que el socio chino, que tiene su red de contactos locales de ventas, sea sólo el distribuidor autorizado, limitando de esta forma su actividad dentro de la joint venture.

3º) Iniciando una empresa totalmente extranjera en China. En este caso la pérdida de propiedad intelectual es la menor, aunque todavía puede existir mediante empleados o socios. Si se establece un departamento de Investigación y Desarrollo, es importante asegurarse de que los inventores-empleados están bien remunerados y que la propiedad intelectual esté bien gestionada, incluyendo gestión de patentes y licencias. El uso de contratos de confidencialidad para ciertos empleados está muy recomendado.

Además del tipo de estructura de empresa, la siguiente clave para proteger la propiedad intelectual es asegurarse de tener todos los contratos relevantes firmados y blindados. Se recomienda que nuestras empresas usen licencias de propiedad intelectual con sus asociados chinos; en adición a establecer los derechos de cada parte, la licencia de propiedad intelectual asegura que la tecnología transferida está documentada en caso de que surjan dificultades en el futuro. Esto es especialmente crítico cuando la parte china también contribuya con tecnología y la propiedad intelectual se vuelva difícil de identificar o diferenciar.


Restricciones en China a las importaciones tecnológicas

China ha puesto en marcha su programa denominado “innovación indígena”, con el que a fin de beneficiar a las empresas chinas productoras de alta tecnología, coacciona a las empresas extranjeras a revelar sus patentes, mecanismos, diseños y tecnología interna, si desean comercializar sus productos en China.

El impulso de estas políticas se produce al más alto nivel político en China (de Consejo de Estado) y está intrínsecamente relacionada con la política de seguridad nacional de China.

Los fundamentos de la batería regulatoria china en cuanto a las restricciones en materia de seguridad informática son simples:

  • Una política industrial orientada a promocionar el sector TIC chino.
  • Transferencia de tecnología.
  • Establecimiento y promoción de los estándares nacionales chinos.
  • Seguridad nacional y censura.

En este conjunto de medidas se encuentran entre otras:

  • La regulación de los códigos de encriptación comerciales por la agencia estatal china de criptografia comercial (OSCCA).
  • El Esquema de Protección Multinivel (MPLS).
  • Los requisitos para la Certificación Obligatoria China (CCC) para 13 categorías de productos de seguridad informática.

Las medidas de China, no tienen precedentes en términos de alcance en aplicaciones comerciales y cesión forzosa de tecnología a través de la obligación de divulgar información sensible bajo derechos de propiedad intelectual (por ejemplo, códigos fuente) de los fabricantes que buscan la certificación.

Revelar los códigos fuente y/o permitir que los algoritmos de China se incorporen a estas aplicaciones no es una opción.

Debido a los obstáculos interpuestos por las autoridades chinas a la importación de productos tecnológicos extranjeros, es obligatoria la comprobación previa de los tipos de productos españoles a exportar, ya que existe la posibilidad de que estén sujetos a algún tipo de restricción.

Comprobar la tecnología a exportar en los catálogos de productos sujetos a restricción en China, en concreto, en el Catálogo de importaciones tecnológicas prohibidas y restringidas, publicado por el Ministerio de Ciencia y Tecnología Chino.

Las importaciones de tecnología en China, se dividen en:

  • importables libremente
  • restringidas
  • prohibidas


El Certificado Obligatorio Chino de Criptografía (CCC)

China ha puesto en vigor reglamentación nacional para la seguridad de las TIC que van más allá de las prácticas internacionales al exigir que - entre otras cosas - la divulgación de información confidencial de las empresas, por ejemplo, el diseño o el código fuente del software, incluso para los productos puramente comerciales. De acuerdo a las normas y prácticas internacionales, tales requisitos extremos se suelen utilizar sólo en un contexto de seguridad nacional, como por ejemplo, para la compra de equipo militar.

La Administración General para la Supervisión de la Calidad, Inspección y Cuarentena (AQSIQ) de la República Popular China aprobó el 21 de Noviembre del 2001 la regulación del nuevo sistema obligatorio de certificación de productos. Este nuevo sistema, conocido como Certificación CCC, entró en vigor en Agosto de 2002. Este procedimiento es administrado por la Administración de Certificación y Acreditación (CNCA). Se trata de un sistema de aseguramiento y certificación de la calidad de productos relacionados con la vida humana y la salud, protección del medio ambiente y seguridad nacional, en principio más acorde con las prácticas y estándares internacionales, y que reflejaría los compromisos adquiridos en la materia por China con la Organización Mundial del Comercio, sustituyendo al antiguo sistema dual de certificación (para productos nacionales y para productos importados) por un sistema único.

Los productos que deben llevar la marca CCC están especificados en un catálogo que abarca 22 grupos de productos, con 159 subcategorías (19 grupos y 132 subcategorías en 2003) y comprende, entre otros, los aparatos electrodomésticos, los vehículos de motor y componentes de seguridad y accesorios, herramientas eléctricas y aparatos de audio y vídeo. Este catálogo puede conocer futuras ampliaciones. De hecho, en agosto de 2005 se incluyeron productos adicionales, como azulejos destinados a la construcción y, desde otoño de ese año, otra serie de productos, como anticongelante para cementos, o cajas fuertes. Los productos consignados en el catálogo no deberán importarse ni comercializarse sin la marca CCC. Se realiza un muestreo aleatorio de las importaciones en frontera, en aquellas que ya han adquirido la marca CCC.

A partir de ese momento, los productos que están recogidos en el catálogo inicial de productos sometidos a certificación, introducidos en el mercado tanto por productores chinos como importados, deben obtener el certificado y etiquetas CCC.

Los procedimientos para la obtención de la marca CCC incluyen:

  • solicitud
  • prueba de tipo
  • inspección inicial en fábrica
  • resultados de la evaluación de certificación
  • aprobación de la certificación e inspección de seguimiento

Las solicitudes de marcas CCC se deben presentar a los organismos de certificación designados. A finales de marzo de 2007 había organismos (en 2005 eran 172), 34 de los cuales eran empresas conjuntas con capital extranjero establecidas en China; otros tres estaban constituidos totalmente con capital extranjero. La CNCA también acepta resultados de certificación, prueba y examen de organismos de certificación y prueba extranjeros, mediante el sistema de reconocimiento multilateral, acuerdos bilaterales de cooperación o memorandos de entendimiento.

En este sentido, China cumple con los compromisos de establecer un sistema no discriminatorio en teoría, pero, en la práctica, plantea problemas claros en varios aspectos:

  • La propia confusión en la norma, en cuanto a sujeción o no de partes y piezas, de productos incorporados a otros bienes de equipo.
  • El hecho de que los requerimientos chinos difieran de los estándares internacionales y, más específicamente, de las normas europeas.
  • Uno de los principales inconvenientes para las empresas europeas es que las autoridades chinas todavía no han llegado a acuerdos con ningún organismo europeo para acreditar esta certificación. Esto supone que corre por cuenta de la empresa el coste del desplazamiento de técnicos chinos para inspeccionar y certificar sus instalaciones.

La lista de productos sujetos a CCC ha sido ampliada también para los productos siguientes:

  • Productos de seguridad (Aviso Nº 62 de AQSIQ): algunos productos de seguridad requieren la certificación CCC desde el 1 de octubre de 2005, tales como detectores, control de sistema de alarma antirrobo, sistema de alarma para vehículos y cajas fuertes
  • Productos de seguridad de información (Aviso Nº 7/2008 de CNCA), desde el 1 de mayo de 2009.

La certificación CCC es requerida para tanto los productos fabricados en China como los exportados, a una larga serie de productos, tales como:

Cables eléctricos, material eléctrico, aparatos de bajo voltaje, herramientas eléctricas, aparatos de audio y video, ordenadores y todo tipo de material informático, terminales de telecomunicaciones, sistemas de alarma, WIFI, juguetes, …

El 27 de abril de 2009, China anunció 13 categorías de productos, los llamados “de seguridad tecnológica”, que conforman la implementación de la regulación de los certificados CCC (China Compulsory Certificate). Este anuncio se hizo solo unos días antes de su entrada en vigor 1l 1 de mayo de 2009. Esta regulación tan rigurosa permite hasta mostrar el código fuente de los programas que operan en estos productos. Este hecho ha originado una gran preocupación entre los países de la Unión Europea, Japón, Estados Unidos y Corea del Sur, oponiéndose todos ellos a esta regulación y pidiendo su derogación. Esta certificación solo se limita al mercado interior chino.

Esta regulación atenta contra la propiedad intelectual de los fabricantes. La respuesta del gobierno chino fue modificar su regulación para que el mencionado certificado CCC afecto sólo a los productos destinados (para ser comprados) por la administración pública china, y pospuso su entrada en vigor al pasado 1 de mayo de 2010.


Lista de productos sujetos a certificación

Las 13 categorías de productos son:

  • Sistemas operativos securizados
  • Aislamiento seguro e intercambio de información
  • Enrutador securizado
  • Supervisión de seguridad
  • Sistemas de bases de datos seguros
  • Contramedidas al correo spam
  • Cortafuegos
  • Sistemas de detección de intrusos
  • Salvaguardas y recuperación
  • Concentradores, conmutadores, tarjetas de red de aislamiento
  • Escaneo de vulnerabilidades de red
  • Recuperación de sitios web
  • Tarjetas inteligentes COS


Documentación requerida para los productos TIC en las aduanas de China

  • Factura proforma
  • Lista de bultos
  • Recibo de entrega
  • Formulario de declaración aduanera
  • Certificado CCC (para algunos productos)

Las empresas que deseen exportar software a China deben encontrar primero una empresa con licencia de importación, autorizada por el Ministerio de Comercio Chino. Este tipo de empresas están autorizadas a operar con moneda extranjera

Comprobación de la necesidad de que los productos a exportar necesiten el certificado CCC. Si así fuera, el certificado ha de obtenerse antes de exportar o vender los productos en China.

Catálogo de productos con CCC obligatorio:
http://www.mac.doc.gov/china/CNCA%20Announcement%2060%20English.pdf .

Detalles adicionales disponibles en: http://www.export.gov/china/exporting_to_china/CCC_System.pdf

  • Los impuestos de importación de software en China, dependen de sobre que medio físico se comercialicen.

  • La tasa actual es cero.

  • El impuesto de importación en China se basa en el valor de la propiedad intelectual del software. El IVA es un 17%, además de un 10% que se aplica a todos los productos de software.

  • No hay diferencia de tratamiento entre software en serie (paquetes estándar) o software adaptado al cliente.

  • Si el software se importa a China en soportes físicos (DVDs, hardware, …) lo clasificarán como 8523 en el Sistema Harmonizado.

  • Si la venta del software se realiza a través de Internet, el cliente china pagará un 10% además del IVA aplicado.

  • Si el software es copiado y vendido por un distribuidor autorizado, se aplican los mismos impuestos y tasas.

  • Todo el software extranjero importado en China necesita ser registrado en la Asociación China de Industria de Software (www.csia.org.cn) antes de su venta. Es el Ministerio de Información e Industria el ente que aprueba la solicitud de registro. Este registro ha de hacerse a través de una entidad China. La regulación específica se encuentra en: http://www.chinasoftware.com.cn/cognizance_guide_product.asp#.

China mantiene un sistema de doble certificación sobre empresas y productos de software.

Tres requisitos fundamentales son:

  • La venta de software empresarial con encriptación en el mercado chino necesita cumplir con la Regulación de Administración de Criptografía Comercial. Esta legislación puede consultarse en: www.oscca.gov.cn/index.htm.

Los productos con software empresarial con encriptación necesitan superar las inspecciones técnicas correspondientes para obtener el certificado de aprobación de la Oficina Estatal de Administración de Criptografía.

  • Las oficinas de ventas de las empresas de software empresarial con encriptación necesitan obtener una licencia comercial de ventas por parte de la Oficina Estatal de Administración de Criptografía (OSCCA). Las oficinas o departamentos de ventas deberán comunicar sus cifras de ventas a la OSCCA cada trimestre.

  • Con el fin de controlar las ventas, el gobierno chino requiere a los importadores chinos de software una prueba de la comunicación a la Administración Estatal China de Cambio de Moneda Extranjera (SAFE), bastando enviar una copia de los contratos firmados. Esta regulación se puede consultar en: http://www.safe.gov.cn/model_safe/laws/law_detail.jsp?ID=80100000000000000,47&id=4.


Relaciones y Acuerdos entre la Unión Europea y China

Las relaciones diplomáticas de la Unión Europea con China se establecieron en 1975 y se rigen por el Acuerdo de Cooperación Comercial UE-China y el Acuerdo de Cooperación de 1985 y siete otros acuerdos jurídicamente vinculantes.

La UE es el mayor socio comercial de China, mientras que China es la mayor fuente de importaciones de la UE y el segundo socio comercial bilateral. China es actualmente el segundo socio comercial de la UE, por detrás de los EE.UU. La UE es también el mayor socio comercial de China.

El mercado abierto de la UE ha contribuido enormemente al crecimiento de las exportaciones Chinas. La UE también se ha beneficiado del crecimiento del mercado chino y la UE se ha comprometido a abrir relaciones comerciales más avanzadas con China.

La UE ha decidido seguir las reglas de la OCDE sobre créditos a la exportación, que ahora limitan el crédito máximo al 85 por ciento del valor de exportación, sin embargo China no es parte de la OCDE y por lo tanto puede hacer lo que le plazca.

La Unión Europea puede cambiar algo de este sombrío escenario futuro, si se aprovecha de su poder económico como el mayor mercado y mayor donante de ayuda en el mundo. Para que esto ocurra, la Unión Europea debe actuar con una voz común y fuerte.


Otros Diálogos y Comunicaciones entre Unión Europea y China

Comunicaciones de la Comisión tituladas “Socios más cercanos. Responsabilidades crecientes” y "Competencia y Asociación. Una Política para el comercio y la inversión Unión Europea-China", además de sentar las bases para el futuro de las relaciones comerciales bilaterales, contemplan el lanzamiento de negociaciones para un nuevo marco institucional entre China y la UE .

En enero de 2007 comenzaron las negociaciones para concluir un nuevo Acuerdo de Asociación y de Cooperación (PCA en inglés, "Partnership and Cooperation Agreement"), que será mucho más amplio que el vigente desde 1985. El futuro PCA será un acuerdo no preferencial que no incluirá compromisos concretos de acceso a mercado.

Además, en la actualidad existen más de 50 diálogos (desde el nivel político al técnico) con China a nivel europeo que sirven de vía para exportar el enfoque reglamentario de la UE y para plantear potenciales contenciosos en un marco estructurado y constructivo. La mayoría de estos diálogos han ido ampliando gradualmente el ámbito de su cooperación, y entre ellos destaca el relativo a la política comercial.

Los temas comerciales se abordan en las reuniones anuales entre la DG de Comercio de la Comisión y el Viceministro del MOFCON en el marco del Diálogo de Política Comercial y de Inversiones, y en el Diálogo Económico y Comercial de Alto Nivel (HED en inglés, “High-Level Economic Dialogue”), así como en otros grupos de trabajo que operan a un nivel más técnico.

El HED fue creado en la X Cumbre UE-China (Pekín, noviembre de 2007) con objeto de establecer un canal estratégico de comunicación a nivel ministerial en los temas relacionados con la cooperación económica, comercial y las inversiones. El HED cubre una serie de áreas que afectan al desequilibrio de la balanza comercial UE-China: acceso al mercado, derechos de propiedad intelectual, medioambiente, alta tecnología y energía. Estas reuniones de carácter anual suelen tener lugar un poco antes de las Cumbres o del Comité Conjunto contemplado en el Acuerdo de Cooperación y Comercio de 1985 y se complementan, a nivel mucho más técnico, con el Grupo de Trabajo de Economía y Comercio (en este caso a nivel de Director) cuyo objeto es abordar temas concretos de acceso a mercado.

Otros ejemplos de reuniones bilaterales UE-China, en concreto sobre las certificaciones obligatorias de productos con criptografía, han sido:

  • El Comité de la Organización Mundial del Comercio para Barreras Técnicas al Comercio.
  • Grupo de alto nivel para la Unión Europea y China.
  • Comunicados oficiales de la Unión Europea a China (ver anexo IV)
  • La reunión entre la UE y OSCCA (the Office of State Commercial Cryptography Administration) y con SEMB (the State Encryption Management Bureau) en Beijing.

Cabe destacar que con China se está negociando en estos momentos el Estatuto de Economía de Mercado, mediante un análisis técnico objetivo para evaluar el cumplimiento por parte de China de los requisitos necesarios para beneficiarse de dicho estatuto.

Por otra parte, la UE concede a China acceso preferencial al mercado comunitario mediante la aplicación del Sistema de Preferencias Generalizadas a una serie de productos.


Estrategias europeas

China se comprometió a la apertura de su mercado de servicios de telecomunicaciones a la inversión extranjera cuando entró a formar parte de la Organización Internacional de Comercio. Sin embargo, cinco años después de su acceso, de las 16.000 licencias a las telecom, sólo 5 fueron concedidas a compañías con inversores extranjeros. Los potenciales inversores de la Unión Europea tampoco han tenido libertad de elección en su socio joint-venture, todo ello a pesar de las promesas de China.

Como resultado los mayores operadores de la UE están apartados del mercado con mayor crecimiento del mundo.

Es por lo que se necesitan tomar medidas urgentes a fin de evitar este previsible detrimento en la producción de riqueza europea en todos los ámbitos, y en concreto en la producción de TIC.


Estrategias empresariales en las líneas de producción

La estrategia denominadas multi-local internacional, como crear una línea separada de producción para exportar a China, adaptada a su regulación administrativa y cultural, choca con la dominante estrategia global.

En un mercado tan vasto como el chino, es aconsejable adaptarse tanto a las necesidades de los usuarios/clientes como a los del Estado/Legislación donde se comercializará el producto.

La solución es adaptar cada producto individual a la estrategia más adecuada (multilocal o global), siendo ésta una decisión puramente empresarial.


Estrategia europea crediticia

En relación a los créditos a la exportación, Europa sigue estancada en las estructuras económicas de los años 70, cuando países como India o China ni siquiera pertenecían al la Organización Mundial del Comercio.

Comparación de tipos de créditos a la exportación entre el Banco Chino de Desarrollo y las Agencias Europeas de Crédito a la Exportación:


Banco Chino de Desarrollo
Agencias Europeas de Crédito
Préstamo
200% del valor de la exportación
Máx. 85% del valor de la exportación
Duración
10 años
6 meses
Período de gracia
3 años
6 meses
Tipos de interés
Por debajo de los tipos comerciales
Tipos comerciales


El régimen europeo de créditos a la exportación necesita ser actualizado de acuerdo a los nuevos requerimientos del siglo XXI.


Estrategia política europea

Europa es hoy el mayor Mercado en el mundo y el mayor donante de ayuda en el mundo. Sin embargo, no está utilizando estas fortalezas a la hora de competir de forma efectiva en otros mercados.

España debe discutir con China la revisión de la normativa restrictiva china y otros puntos, pero a través de la Unión Europea. Estos son los puntos a tratar con el gobierno chino:

Aspectos económicos de la seguridad de redes e información, además de los incentivos para la puesta en marcha de seguridad TIC:

  • Medidas reguladoras del mercado.
  • Rol del sector privado y de las sociedades público-privadas en la adopción de seguridad TIC.
  • Adopción de estándares internacionales en la seguridad TIC.

Los objetivos de estas discusiones con China en cuanto a su marco regulatorio de las TIC, deben ser:

  • No debe ser discriminatoria.
  • Debe contemplar sólo requisitos que puedan ser cumplidos.
  • Debe proteger la Propiedad Intelectual.
  • Debe seguir los estándares internacionales.


Delegación de la Comisión Europea en China

Todas las empresas europeas interesadas en exportar a China deberían consultar a las delegaciones de la Comisión Europea en China.


Existen oficinas comerciales (Enterprise Europe Network) de la Unión Europea, en varias ciudades chinas:

  • Changsha, Hunan Province
  • Chengdu
  • Chongqing Municipality
  • Fuzhou
  • Guangzhou
  • Haikou
  • Hangzhou
  • Kunming
  • Kunming, Yunnan Province
  • Nanning
  • Tianjin
  • Wuhan, Hubei Province
  • Xiamen
  • Xian

Desde donde se asesora para la comercialización, financiación, legislación, etc … de tecnologías de la información y comunicaciones, tanto software como hardware.



Oposición de otros países a las políticas chinas

Otros países también han llevado a cabo acciones en oposición a las políticas de productos de seguridad TIC del gobierno chino:

  • 4 Mayo 2009 - Ron Kirk (USTR, EEUU) y Toshihiro Nikai (METI, Japón) se reunieron en Washington DC, coincidiendo en su oposición al CCC al no reunir los estándares internacionales.
  • 13 Mayo 2009 - Un editorial of Yomiuri Shimbuneditorial de Japón opinaba que el CCC es una invasión a los derechos de propiedad intelectual, añadiendo que el CCC forzaría a Japón a suprimir su exportación de tecnología a China.
  • 19-20 Mayo 2009 - El Ministro de Industria y Tecnologías de Información de la República Popular China, el Ministro de Comercio chino y el METI de Japón se reunieron en Beijing, expresando a china su deseo de dar marcha atrás en su plan (CCC). China por su parte puntualizó de deseo de mantener su seguridad, pero tambien de proteger la propiedad intelectual de los fabricantes, posponiendo la implementación del CCC al 1 de mayo de 2010.
  • 21 Mayo 2009 - La 13ª conferencia del WSC (World Semiconductor Council) en Beijing, en el que participaron delegacion de Japón, EEUU, Corea del Sur, Taiwan e incluso China, mostraron su gran procupación por la nueva implementación del CCC que sacan a la luz el corazón de las tecnologías de los productos, tales como el código fuente y otros.
  • 7 Junio 2009 - Wang Qishan (Viceprimer Ministro chino), Hirofumi Nakasone (Ministro japonés de Asuntos Extranjeros) y Nikai mantuvieron el denominado HED (China-Japan High-Level Economic Dialogue). Nikai insistió en retroceder el plan que fuerza a los fabricantes que exportan hacia China el tener que mostrar el código fuente de sus productos de seguridad informática. China se mostró firme en llevar a cabo su CCC adicional a partir del 1 de mayo del 2010, según lo planeado.
  • 8 Septiembre 2009 - Fujio Mitarai (Presidente de la Federación Japonesa de Empresarios) y Ryoji Chubachi (Vicepresidente de Sony) se reunieron con el Ministro de Comercio chino en Beijing. China se mantuvo con su plan de poner en marcha sus cambios en el CCC, pero solo afectarán a los productos para sus administraciones públicas, por lo que no podría haber filtraciones a terceros. Japón expresó su preocupación.
  • 14 Abril 2010 - El gobierno chino se retracta de algunas normas respecto a la implementación del CCC para productos de seguridad TIC adquiridos para las administraciones públicas chinas. La nueva norma es "las empresas extranjeras deberan tener la patente o propiedad intelectual o marca registrada de su producto que deberá ser conforme a las leyes de China", eliminando así del requisito de registrarlo primero en China.


Empresas españolas en China

Desde hace años existen en China, empresas españolas punteras comercializando sus productos en el mercado interior chino.

  • La labor de Panda Software se centra en la investigación y desarrollo de software antivirus. Actualmente, Panda Software es el primer desarrollador europeo de software antivirus y uno de los más importantes a nivel mundial, siendo además la compañía del sector que ha registrado los mayores índices de crecimiento en los últimos años. La presencia de Panda abarca todos los puntos del globo, con oficinas en más de 40 países. Con delegaciones en Los Ángeles, París, Shanghái, Estocolmo, Sao Paulo, Londres, México D.F., Milán, etc. Panda Software consolida su presencia en China de la mano de Ateker Information & Consulting CO. Ltd. que, a partir de ahora, se ocupará de que las soluciones de la multinacional española lleguen a todos y cada uno de los puntos de venta de Taiwán. Esta iniciativa, resultado del reciente acuerdo alcanzado entre ambas firmas, se suma al inicio de operaciones en Mainland, Hong Kong y Macao de Panda Software, con lo que la compañía consolida su posición en dicho mercado.

  • Indra es una de las compañías españolas líder en Tecnologías de la Información (TI). El pasado ejercicio obtuvo unos ingresos netos de 882,2 M€ y una cartera de pedidos por importe de 1.177 M€. Su actividad se distribuye en tres líneas de negocio: Tecnologías de la Información, Simulación y Sistemas Automáticos de Mantenimiento (SIMSAM), y Equipos electrónicos de Defensa (EED). El mercado chino no es nuevo para Indra ya que está presente en él desde hace cinco años y tiene delegación comercial desde 1997 en Beijing y en Nanjing. Indra desde que viene trabajando en este país ha contratado más de 100 millones de dólares (cerca de 19.000 millones de pesetas).

  • Técnicas Reunidas, TR, es la empresa líder de ingeniería española que se dedica al diseño y construcción de plantas industriales de todo tipo y centrales de energía, así como al desarrollo de tecnologías avanzadas y patentes propias para diferentes procesos industriales. TR fue una de las primeras empresas de ingeniería y construcción que se estableció en China, habiendo desarrollado en sus más de 15 años de presencia, proyectos por un valor de 1,6 billones de US$ en diversas áreas de actividad como siderurgia, petroquímica y fertilizantes.

  • En 1949 FERMAX inicia la que sería su larga trayectoria empresarial con el lanzamiento de su primer producto estrella: el radio interfono. En 1995 se inició una presencia estable en China con la apertura de una oficina de representación en Shanghai. En 1997 se inauguró el primer centro productivo de Shanghái, una planta de ensamblaje de 1.000 metros2 con el fin de abastecer el creciente mercado asiático. Recientemente han abierto unas nuevas instalaciones de 3.000 metros2 , en el Parque Tecnológico de mayor prestigio de Shanghai (YSAN), representando una fuerte inversión en maquinaria de última generación para la implantación de una línea de producción de circuitos electrónicos, nuevas tecnologías, y el incremento de la plantilla que en la actualidad cuenta 150 personas.

  • Gamesa es una empresa española fabricante y suministradora principal de productos, instalaciones y servicios tecnológicamente avanzados en los sectores aeronáutico y de energías renovables. Gamesa inició su actividad en 1.976. Actualmente trabajan cerca de 5.000 personas. En Abril 2003, obtuvo sendos pedidos con las empresas chinas Shanghai New Energy Co. Ltd. y Ningxia Tianjing Electric Power Economy and Trade Co. Ltd. para el suministro de 4 y 12 aerogeneradores, respectivamente, de 850 kW de potencia unitaria. En conjunto, el acuerdo implica la instalación de una potencia equivalente a 13,6 MW.

  • Desde el inicio de sus actividades en 1965, Salicru Electronics fabrica reguladores y transformadores para la estabilización y continuidad de la energía eléctrica, evolucionando e innovando constantemente con nuevos productos según las necesidades del mercado. Trabajan 260 empleados y la facturación fue de 27 millones de euros, con una cuota de exportación del 26%. Tiene filiales en Francia, Reino Unido, Brasil, China y Singapur.


CHINEKA. Programa Bilateral Hispano-Chino de Cooperación Tecnológica

El Programa Bilateral Hispano-Chino de Cooperación Tecnológica (Chineka) promueve la cooperación tecnológica internacional entre entidades de España y China a través de proyectos liderados por empresas con el objetivo de impulsar la competitividad de las empresas españolas y chinas fomentando y apoyando la ejecución de proyectos tecnológicos conjuntos, orientados al desarrollo y/o adaptación de nuevos productos, procesos o servicios, destinados a mercados internacionales.

En este programa pueden participar al menos dos o más entidades empresariales de ambos países que idean y dirigen el desarrollo de un proyecto común en cualquier área técnica. Además, se permite la participación de otras entidades empresariales u organismos públicos de investigación dentro del consorcio.

Cada país a través de sus organismos gestores, el CDTI en España y TORCH en China, son los responsables de la evaluación y posterior certificación de los proyectos aprobados con un “sello de calidad” que ofrece a las empresas participantes:

Valor añadido asociado a la cooperación internacional y de reconocimiento del nivel tecnológico de los participantes.

Facilita a las empresas la obtención de ayudas financieras en cada país de acuerdo a sus propias reglas y sin intercambio de fondos.

Organismo en España para la certificación de seguridad de productos TIC

El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

La certificación de un SGSI (sistema de gestión de seguridad de información) es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

El organismo encargado en España de certificar los niveles de seguridad de productos TIC es la Asociación Española de Normalización y Certificación, que es una entidad privada sin fines lucrativos que se creó en 1986. Su actividad contribuye a mejorar la calidad y competitividad de las empresas, sus productos y servicios.

Esta es la página web desde la que acceder a más información sobre AENOR: http://www.aenor.es/aenor/certificacion/sectores/tecnologias_informacion.asp

AENOR ofrece a las organizaciones un amplio catálogo de certificados especialmente indicados para atender las necesidades de las empresas en las actividades y procesos de las áreas TIC.

El certificado AENOR del Sistema de Gestión de la Seguridad de la Información ISO 27001 contribuye a fomentar las actividades de protección de la información en las organizaciones, mejorando su imagen y generando confianza frente a terceros. Entre sus principales ventajas destacan la implantación de controles adecuados para asegurar la confidencialidad, integridad y disponibilidad del sistema de información y la capacidad de la organización para conocer sus riesgos, identificar las amenazas y reducirlas.

El certificado AENOR del Sistema de Gestión de Servicios de Tecnologías de la Información ISO 20000-1 persigue el uso óptimo de las infraestructuras TI para la excelencia en la prestación de los servicios a los clientes, además de garantizar que sus entornos de TI se administran de forma adecuada y que reciben servicios tecnológicos de alta calidad.

La Certificación del Modelo de Madurez de la Ingeniería del Software ISO/IEC 15504-SPICE es una eficaz herramienta que contribuye a mejorar la calidad del desarrollo del Software en todo tipo de organizaciones, minimizando las dificultades de las organizaciones con los modelos de mejora de procesos.

Por su parte, el certificado de Accesibilidad TIC de Sitios Web UNE 139803 es una garantía para las organizaciones, los usuarios y los responsables web de que las páginas de internet son y se mantienen accesibles universalmente.
En este ámbito, AENOR apoya las mejores prácticas con los certificados ISO 27001 e ISO 20000-1.

El certificado del Sistema de Gestión de la Seguridad de la Información ISO 27001 contribuye a fomentar las actividades de protección de la información en las organizaciones, mejorando su imagen y generando confianza frente a terceros.

Este certificado está basado en la Norma UNE ISO/IEC 27001, que establece los requisitos para implantar, documentar y evaluar un sistema de gestión de la seguridad de la información. Las organizaciones valoran esta certificación por su orientación a la protección de los activos, de forma alineada con la estrategia de la Dirección, y por su valor para clientes de todo tipo de organizaciones.

Entre las principales ventajas de la certificación ISO 27001 destacan:

  • La implantación de controles adecuados para asegurar la confidencialidad, integridad y disponibilidad del sistema de información.
  • La capacidad de la organización para conocer sus riesgos, identificar las amenazas y reducirlas.
  • El cumplimiento de las distintas normativas en materia de protección de datos de carácter personal, servicios de la Sociedad de la Información, Comercio Electrónico, Propiedad Intelectual y Seguridad de la Información.
El certificado del Sistema de Gestión de Servicios de Tecnologías de la Información ISO 20000-1 busca el uso óptimo de las infraestructuras TI para la excelencia en la prestación de servicios a clientes, además de garantizar que sus entornos de TI se administran de forma adecuada y que los usuarios reciben servicios tecnológicos de alta calidad.

El Certificado de Sistema de Gestión de Servicios de Tecnologías de la Información (TI) está basado en la Norma UNE-ISO/IEC 20000-1. Este documento fija los requisitos básicos que permiten a las empresas e instituciones públicas implantar un Sistema de Gestión del Servicio de TI.

El Certificado según la norma UNE-ISO/IEC 20000-1 acredita que las empresas e instituciones han implantado un sistema de gestión de calidad en sus servicios de Tecnologías de la Información, optimizando la eficiencia en el servicio y reduciendo costes. Este certificado aporta valor a organizaciones orientadas tanto a clientes externos como internos.


Conclusiones

China es un mercado extraordinariamente complejo, burocrático y competitivo. Es un país con características propias, en donde las reglas del juego son distintas a las de otros países.

Los mayores operadores de telecomunicaciones de la UE están excluidos en la práctica, del mercado chino, a pesar de las promesas de China en su entrada a la Organización Mundial de Comercio.

China posee un sistema de certificación de la calidad de productos que incluyen las tecnologías de la información y comunicaciones, tanto nacionales como extranjeras.

Esta regulación atenta contra la propiedad intelectual de los fabricantes.

Todo el software extranjero importado en China necesita ser registrado en la Asociación China de Industria de Software antes de su venta. Es el Ministerio de Información e Industria el ente que aprueba la solicitud de registro.

Las empresas que no mediten cuidadosamente sobre como proteger su propiedad intelectual al transferir tecnología a China, podrán sufrir pérdidas de competitividad y cuota de mercado a medio y largo plazo, como resultado de perder su propiedad intelectual a favor de sus competidores chinos.

La ingeniería inversa está permitida en la ley china y no se considera delito ni apropiación indebida de secreto comercial. Por ello, los contratos de transferencia de tecnología deben incluir la limitación o prohibición de realizar ingeniería inversa por parte del socio chino

Las empresas europeas deben registrar todas las patentes, marcas, derechos de autor, diseños, … no solo en la UE sino también en China.

Deben incluir una cláusula de arbitraje en el contrato original para que sea la Trade and Arbitration Commission de Hongkong la que delimite las responsabilidades

Fuerte apoyo jurídico a la hora de de estructurar los términos del contrato, para delimitar sin dudas los términos antes descritos.

La estrategia de producción multilocal internacional, crear una línea de producción distinta para el mercado chino, será decisión de cada empresa, para cada producto.

El Programa Bilateral Hispano-Chino de Cooperación Tecnológica (Chineka) promueve la cooperación tecnológica internacional entre entidades de España y China a través de proyectos liderados por empresas.

Además de las Cámaras de Comercio en España y de las oficinas Comerciales de la Embajada de España en China, existen oficinas comerciales (Enterprise Europe Network) de la Unión Europea, en varias ciudades chinas, resultando de ayuda indispensable para las empresas españolas.

También existe una Oficina IPR SME China (ayuda sobre Derechos de Propiedad Intelectual) de la Unión Europea.

Existen en China desde hace años, empresas españolas de tecnología que sirven de ejemplo positivo para las aspirantes. Panda Software, Indra, Gamesa, Fermax, Técnicas Reunidas, Salicru Electronics, ...

El organismo encargado en España de certificar los niveles de seguridad de productos TIC es la Asociación Española de Normalización y Certificación (AENOR), que es una entidad privada sin fines lucrativos.

Además de la Unión Europea, otros países se han visto afectados por la normativa de China, especialmente EEUU, Japón y Corea del Sur, quienes mediante acuerdos bilaterales tratan de allanar el camino.

Es recomendable afrontar el problema chino desde la perspectiva de la Unión Europea, para ganar en eficacia negociadora, ya que la balanza comercial e industrial está en contra de España.

El régimen europeo de créditos a la exportación necesita ser actualizado de acuerdo a los nuevos requerimientos del siglo XXI, facilitando el crédito a la empresa, aumentado la duración y el porcentaje del préstamo con respecto al valor exportado, y bajando los tipos de interés.

Europa es hoy el mayor mercado en el mundo y el mayor donante de ayuda en el mundo. Debe utilizar esta fortaleza para discutir con China la revisión de la normativa restrictiva y la adopción de estándares internacionales.

Autor: Eloy De Frutos Pérez 31/12/2012