El ascenso del minorista asiático de moda rápida Shein ya tiene a Amazon en alerta, pero sus planes de vender tecnología y servicios patentados de cadena de suministro a empresas de todo el mundo ha atraído la atención desde otro ángulo: las empresas de ciberseguridad estadounidenses y los expertos en seguridad nacional que advierten sobre el potencial para una empresa con estrechos vínculos con China que espía la cadena de suministro mientras busca aumentar su huella logística global.
El software de logística de Shein se encuentra en prueba beta con clientes selectos de la cadena de suministro, según una persona familiarizada con sus planes.
La cadena de suministro de Estados Unidos tiene millones de puntos de conexión que vinculan a empresas de todos los tamaños. Lo que hace que las conexiones funcionen son las interfaces de programación de aplicaciones, o API, utilizadas por las empresas para aumentar la eficiencia y ahorrar dinero. El software API permite que las aplicaciones se comuniquen entre sí en tiempo real y es crucial para que las empresas de logística se integren con los proveedores de transporte, agilicen las operaciones y creen eficiencias para los proveedores en su cadena de suministro y, en última instancia, para el cliente final.
‘Las API en la infraestructura logística están muy interconectadas, a menudo sin que se contemple la ciberseguridad’, dijo Lee Kair, director y jefe de la práctica de transporte e innovación de The Chertoff Group, quien anteriormente se desempeñó como alto funcionario de la Administración de Seguridad del Transporte.
Los expertos en seguridad cibernética y los analistas de políticas dicen que la cadena de suministro de los proveedores cambia constantemente y que el potencial para obtener acceso a los datos es tan simple como identificar el eslabón más débil en la red de datos de una empresa. Normalmente, las pequeñas empresas tienen sistemas administrativos más vulnerables, con protocolos cibernéticos más débiles. “Existe una enorme integración logística en el mundo de la moda rápida. Estas integraciones pueden verse comprometidas con fines nefastos para exponer los datos de los clientes o comprometer otros sistemas conectados”, dijo Kair.
Según datos de Exiger, una empresa de inteligencia de la cadena de suministro utilizada por el gobierno de EE. UU. y las industrias de infraestructura crítica para la gestión de riesgos, existe una compleja red de entidades conectadas a Shein, lo que indica que la cadena de suministro de la empresa es más expansiva y compleja de lo que la mayoría de la gente cree. .
Los datos de Exiger muestran que, si bien Shein tiene 44 relaciones directas, como con su empresa matriz Zoetop, y divulga más de 5.000 proveedores, un análisis de todos sus productores de materiales muestra un mapa de conectividad de la cadena de suministro que se expande sustancialmente. En total, 10.821 empresas componen una cadena de suministro a un nivel de Shein. Al profundizar en esa red de socios de Shein, se expande a más de 50.000 entidades, incluidas importantes empresas estadounidenses, como Forever 21, operada por Authentic Holdings y el operador de centros comerciales Simon Property Group, los cuales anunciaron asociaciones formales con Shein el año pasado. centrado en el acceso al comercio minorista tradicional.
Permitir que Shein integre su tecnología en las cadenas de suministro de EE. UU. podría socavar el panorama competitivo, violar los estándares regulatorios e introducir una serie de riesgos, incluida la ciberseguridad, dijo Dewardric McNeal, director gerente y analista senior de políticas de Longview Global, quien se desempeñó como experto en políticas. sobre Asia para el Departamento de Defensa de la administración Obama.
‘Dada la naturaleza intrincada de las cadenas de suministro estadounidenses y globales, el potencial de espionaje o recopilación de datos es un riesgo significativo’, dijo McNeal. “El software de Shein podría proporcionar un acceso sin precedentes a datos confidenciales de la cadena de suministro, que el gobierno chino podría confiscar según sus leyes. Esta exposición representa una amenaza directa a la integridad de la cadena de suministro de EE. UU., haciéndola vulnerable a la explotación y la manipulación”.
Shein ha tomado medidas para distanciarse de las afiliaciones chinas. En 2022, Shein trasladó su sede de China a Singapur por motivos regulatorios y financieros. Sin embargo, las cadenas de suministro y los almacenes de la empresa todavía se encuentran en China.
‘La preocupación de cualquier empresa con propiedad y presencia física significativas de China es el marco legal en China’, dijo Kair. “La ley china requiere la cooperación de la empresa para proporcionar información confidencial relacionada con ciudadanos estadounidenses al gobierno chino. Incluso con una sede en Singapur, los datos de la cadena de suministro de la empresa podrían estar sujetos a incautación por parte de los chinos. Esta es una clara vulnerabilidad de los datos de los clientes estadounidenses”.
Kair se refirió al traslado de la sede de la empresa de China a Singapur para facilitar el escrutinio regulatorio como otro ejemplo de la práctica conocida como “lavado de Singapur”.
Existen certificaciones para que las empresas demuestren que sus controles de seguridad de la información cumplen con los estándares corporativos aceptados, incluido un informe SOC2 Tipo II creado por una firma de auditoría externa para examinar los controles internos de una empresa y qué tan bien protegen los datos de los clientes, una auditoría que puede tomar varios meses o más. La otra certificación principal es la certificación ISO 27001, que es el estándar internacional de la industria para sistemas de gestión de seguridad de la información, y su extensión, ISO 27701; ambas, según Shein, se encuentran entre su implementación de controles estándar de la industria para proteger los datos de los clientes.
‘Intentamos limitar nuestra recopilación de datos a la cantidad mínima de información necesaria para procesar transacciones comerciales’, dijo Shein en un comunicado a CNBC. ‘Hemos construido sistemas de acuerdo con los principales marcos de protección de datos, como los estándares 27001 y 27701 de la Organización Internacional de Normalización’, afirmó.
La Organización Internacional de Normalización, que mantiene las normas ISO, explicó por correo electrónico que no realiza ninguna certificación, que son emitidas independientemente de la ISO por los distintos organismos de certificación nacionales e internacionales que operan en todo el mundo. ‘Como tal, la Secretaría Central de ISO no tiene una base de datos de estas certificaciones’, escribió. Las empresas certificadas tienen la obligación de informar a los clientes el nombre de la organización que ha emitido el certificado, y la verificación de la certificación debe dirigirse a esa organización de certificación. CNBC buscó en la base de datos IAF CertSearch de la ISO para encontrar un certificado para Shein o su empresa matriz Zoetop, pero no encontró ninguna validación del certificado.
Shein dijo a CNBC que cuenta con las certificaciones pertinentes de auditores externos.
Almacenamiento de datos confidenciales localmente
Para disipar las preocupaciones de seguridad nacional, Shein ha instalado almacenamiento de datos en los respectivos mercados. Almacena los datos de los clientes de EE. UU. en la nube Azure de Microsoft, con sede en EE. UU., y en la nube de AWS, con sede en EE. UU. En la UE, los datos de los clientes se almacenan en Frankfurt, Alemania. Los datos de pago no los recopila la empresa en los EE. UU., sino la empresa estadounidense de procesamiento de pagos Worldpay, que es propiedad mayoritaria de la firma de capital público GTCR.
Los datos almacenados en China cubren su gestión de proveedores industriales y su sistema comercial digital, que facilita las transacciones de materias primas de prendas de vestir (materiales auxiliares como botones y cremalleras) para mover el producto en China.
Ram Ben Tzion, cofundador y director ejecutivo de Publican, una plataforma de investigación digital para el comercio global, le dice a CNBC que es posible que Shein y el gobierno chino hagan un mal uso de la cadena de suministro y de los datos de los consumidores. Dice que el esfuerzo por elevar el perfil de Shein como proveedor de logística global está directamente relacionado con la intensificación de la batalla económica entre Estados Unidos y China. “Ahora estamos viendo cómo se ofrece este nuevo servicio empresarial”, dijo Ben Tzion.
“Impulsar a Shein como empresa de logística es una respuesta o represalia a que Estados Unidos endurezca todo lo que subcontrata desde China”, dijo. “Esta es una manera de que China recupere su control sobre la cadena de suministro global”, añadió, refiriéndose al flujo comercial que sale de China y a las dificultades que tienen los gigantes chinos para recaudar capital en el mercado estadounidense.
La infraestructura de la cadena de fabricación y suministro de Shein también ha presentado problemas legales para los socios y reacciones políticas en Estados Unidos relacionadas con el problema internacional de larga data del trabajo forzoso en China. La fuente familiarizada con las operaciones de Shein dijo que cumple con las políticas de Social Accountability International, una ONG que establece estrictos estándares laborales internacionales justos.
McNeal dijo que existen importantes preocupaciones sobre el hecho de que las cadenas de suministro de Shein estén profundamente entrelazadas con el trabajo forzoso de la provincia de Xinjiang, en una posible violación de la Ley de Protección del Trabajo Forzoso Uigur. “Apoyar a una empresa con tales vínculos contradice los esfuerzos regulatorios y los estándares éticos de Estados Unidos y podría aumentar el escrutinio por parte del Departamento de Seguridad Nacional, la Aduana y la Patrulla Fronteriza y la Oficina de Lista de Entidades de la UFLPA”, dijo.
La planeada IPO de Shein en Estados Unidos se considera “prácticamente muerta”, con varias figuras políticas poderosas en la capital del país entre quienes intentaron bloquearla por razones que incluyen problemas con la cadena de suministro y el uso de lagunas comerciales (Shein ahora está buscando una posible salida a bolsa en Londres en su lugar). ). Shein también ha sido rechazada por el grupo comercial más grande de la industria minorista de Estados Unidos, al que aspiraba a ser miembro.
Los protocolos de ciberseguridad de Shein han sido criticados anteriormente. En octubre de 2022, el Fiscal General de Nueva York multó a Shein, su filial Romwe y su empresa matriz Zoetop por 1,9 millones de dólares por su gestión de una violación de datos de 2018 en la que se robaron 39 millones de cuentas de Shein y siete millones de cuentas de Romwe, incluidas cuentas de más de 800.000 residentes de Nueva York.
‘La propiedad de los datos y la protección contra las amenazas a la ciberseguridad son absolutamente esenciales en el contexto de las cadenas de suministro globales’, dijo Srini Cherukuri, vicepresidente de infraestructura de TI y director de seguridad de la información de ITS Logistics. ‘Llevar a cabo la debida diligencia en las prácticas de seguridad y privacidad de los datos de todos los integrantes de la cadena de suministro es crucial para protegerse contra ataques de ciberseguridad, mitigar los impactos y optimizar el tiempo de recuperación de las operaciones comerciales’.
El rápido ascenso de Shein al dominio
El dominio de Shein reside en la hiperflexible cadena de suministro de la empresa, según un informe reciente de la firma de inteligencia de la cadena de suministro Zero100. Descubrió que al utilizar más de 5.400 fábricas cercanas en Guangzhou para la producción de microlotes, la empresa puede trabajar con ciclos rápidos desde el diseño hasta la entrega, reducir los costos de producción y minimizar el riesgo de inventario.Dirigida por el profundo conocimiento de SEO y marketing online del fundador Chris Xu, Shein también ha desarrollado un enfoque basado en datos para impulsar su crecimiento.
Al integrar datos de IA continuos y en tiempo real en su plataforma de mercado, Shein permite ‘la coincidencia dinámica entre la oferta y la demanda, la detección de tendencias basada en datos y la selección algorítmica de proveedores, con resultados de IA que se alimentan de modelos posteriores para una toma de decisiones integral en toda la cadena de valor’. Dijo Zero100.
Esa eficiencia de la cadena de suministro está siendo aclamada como algo positivo, pero Ben Tzion dijo que los fabricantes más pequeños y las personas influyentes en las redes sociales deberían entender que el esfuerzo de China por impulsar a Shein como empresa de logística ’es un intento de distanciarse de las responsabilidades asociadas con sus prácticas comerciales y impulsarlo entre los propietarios de empresas más pequeñas”.
Usar Shein para logística también significa renunciar a todo el control de su cadena de suministro y sus seguidores. ‘Es una suposición segura decir que el uso de un tercero como Shein para la fabricación y producción le dará a Shein acceso completo a toda la información de la empresa, así como a los hábitos de compra de sus consumidores y seguidores’, dijo.
La infraestructura de la cadena de fabricación y suministro de Shein también ha presentado problemas legales para los socios y reacciones políticas en Estados Unidos relacionadas con el problema internacional de larga data del trabajo forzoso en China. La fuente familiarizada con las operaciones de Shein dijo que cumple con las políticas de Social Accountability International, una ONG que establece estrictos estándares laborales internacionales justos.
McNeal dijo que existen importantes preocupaciones sobre el hecho de que las cadenas de suministro de Shein estén profundamente entrelazadas con el trabajo forzoso de la provincia de Xinjiang, en una posible violación de la Ley de Protección del Trabajo Forzoso Uigur. “Apoyar a una empresa con tales vínculos contradice los esfuerzos regulatorios y los estándares éticos de Estados Unidos y podría aumentar el escrutinio por parte del Departamento de Seguridad Nacional, la Aduana y la Patrulla Fronteriza y la Oficina de Lista de Entidades de la UFLPA”, dijo.
La planeada IPO de Shein en Estados Unidos se considera “prácticamente muerta”, con varias figuras políticas poderosas en la capital del país entre quienes intentaron bloquearla por razones que incluyen problemas con la cadena de suministro y el uso de lagunas comerciales (Shein ahora está buscando una posible salida a bolsa en Londres en su lugar). ). Shein también ha sido rechazada por el grupo comercial más grande de la industria minorista de Estados Unidos, al que aspiraba a ser miembro.
Los protocolos de ciberseguridad de Shein han sido criticados anteriormente. En octubre de 2022, el Fiscal General de Nueva York multó a Shein, su filial Romwe y su empresa matriz Zoetop por 1,9 millones de dólares por su gestión de una violación de datos de 2018 en la que se robaron 39 millones de cuentas de Shein y siete millones de cuentas de Romwe, incluidas cuentas de más de 800.000 residentes de Nueva York.
‘La propiedad de los datos y la protección contra las amenazas a la ciberseguridad son absolutamente esenciales en el contexto de las cadenas de suministro globales’, dijo Srini Cherukuri, vicepresidente de infraestructura de TI y director de seguridad de la información de ITS Logistics. ‘Llevar a cabo la debida diligencia en las prácticas de seguridad y privacidad de los datos de todos los integrantes de la cadena de suministro es crucial para protegerse contra ataques de ciberseguridad, mitigar los impactos y optimizar el tiempo de recuperación de las operaciones comerciales’.
El rápido ascenso de Shein al dominio
El dominio de Shein reside en la hiperflexible cadena de suministro de la empresa, según un informe reciente de la firma de inteligencia de la cadena de suministro Zero100. Descubrió que al utilizar más de 5.400 fábricas cercanas en Guangzhou para la producción de microlotes, la empresa puede trabajar con ciclos rápidos desde el diseño hasta la entrega, reducir los costos de producción y minimizar el riesgo de inventario.Dirigida por el profundo conocimiento de SEO y marketing online del fundador Chris Xu, Shein también ha desarrollado un enfoque basado en datos para impulsar su crecimiento.
Al integrar datos de IA continuos y en tiempo real en su plataforma de mercado, Shein permite ‘la coincidencia dinámica entre la oferta y la demanda, la detección de tendencias basada en datos y la selección algorítmica de proveedores, con resultados de IA que se alimentan de modelos posteriores para una toma de decisiones integral en toda la cadena de valor’. Dijo Zero100.
Esa eficiencia de la cadena de suministro está siendo aclamada como algo positivo, pero Ben Tzion dijo que los fabricantes más pequeños y las personas influyentes en las redes sociales deberían entender que el esfuerzo de China por impulsar a Shein como empresa de logística ’es un intento de distanciarse de las responsabilidades asociadas con sus prácticas comerciales y impulsarlo entre los propietarios de empresas más pequeñas”.
Usar Shein para logística también significa renunciar a todo el control de su cadena de suministro y sus seguidores. ‘Es una suposición segura decir que el uso de un tercero como Shein para la fabricación y producción le dará a Shein acceso completo a toda la información de la empresa, así como a los hábitos de compra de sus consumidores y seguidores’, dijo.
‘Si usted es un minorista de la vieja escuela, no querrá ceder sus ventas, su inventario y su estrategia geográfica a un competidor de moda rápida que podría fabricar un producto de imitación’, dijo Fullerton. “En una crisis en la cadena de suministro, ¿Shein priorizaría el cumplimiento de la cadena de suministro de un competidor o priorizaría el suyo propio?
En un mundo minorista con márgenes muy reducidos, cada vez más organizaciones ven la eficiencia de la cadena de suministro como una forma de ganar la batalla del presupuesto. ‘Shein no sólo podría vender el producto, sino que también podría identificar la región donde se vende y a qué precio’, dijo Fullerton. ‘Estos datos de la cadena de suministro proporcionarían a Shein la capacidad de ver la estrategia de distribución de una empresa’.
Dependencia arriesgada de China
Según McNeal, acumular datos sobre la cadena de suministro tiene sentido para Shein tanto desde el punto de vista financiero como estratégico. ‘La compra de este software proporciona a Shein un flujo de ingresos adicional, fortaleciendo así su posición financiera y su ventaja competitiva en el mercado’, afirmó. Además, al utilizar los servicios y el software de la cadena de suministro de Shein, las empresas extranjeras le otorgan acceso a sus datos. ‘Este acceso permite a Shein mejorar sus modelos algorítmicos y de inteligencia artificial, lo que lleva a operaciones más eficientes y una mejor inteligencia de mercado para Shein’, dijo McNeal.
En última instancia, esto puede colocar a las empresas en desacuerdo con un creciente gigante asiático del comercio minorista y la logística. ‘Esto hace que las empresas extranjeras sean vulnerables a una excesiva dependencia de un competidor, comprometiendo potencialmente su propia capacidad para aprovechar y utilizar sus datos y fortalecer su cadena de suministro y sus operaciones logísticas’.
El rápido ascenso de Shein ha llevado a Amazon a profundizar sus propios vínculos dentro de China. CNBC se enteró recientemente de queAmazonplanea lanzar una nueva sección en su sitio dedicada a artículos de moda y estilo de vida de bajo precio que permitirá a los vendedores chinos realizar envíos directamente a los consumidores estadounidenses. En diciembre, Amazon anunció un nuevo “centro de innovación” en Shenzhen, un popular centro tecnológico y de fabricación, y también redujo las tarifas que cobra a los comerciantes que venden ropa con un precio inferior a 20 dólares.
Mientras tanto, el gobierno de Estados Unidos vigila de cerca a las empresas con vínculos con China y donde las cadenas de suministro o las relaciones de datos son una cuestión de seguridad nacional, dijo Kair. ‘El escrutinio de Shein por parte de reguladores y legisladores estadounidenses es consistente con las preocupaciones sobre la cadena de suministro y la seguridad de los datos de otras compañías como TikTok, drones DJI y fabricantes de grúas operadas en puertos estadounidenses’.
Un portavoz del Departamento de Transporte remitió a CNBC al Departamento de Comercio y al Consejo de Seguridad Nacional. Un portavoz del Departamento de Comercio escribió en un correo electrónico que está “comprometido a proteger las cadenas de suministro de tecnología de la información y las comunicaciones de Estados Unidos. Continuaremos identificando y mitigando de manera proactiva las vulnerabilidades en la cadena de suministro de ICTS de EE. UU. y salvaguardando nuestra seguridad nacional”.
