El rugido del clic del ratón/Joseph S. Nye

El rugido del clic del ratón/Joseph S. Nye, a former US assistant secretary of defense and chairman of the US National Intelligence Council, is University Professor at Harvard University. He is the author of Presidential Leadership and the Creation of the American Era.

Traducido del inglés por David Meléndez Tormen.

Project Syndicate | 9/09/2013

Hasta hace poco, la seguridad informática interesaba principalmente a los frikis informáticos y a los tipos aficionados a la intriga y el misterio. Los creadores de Internet, parte de una pequeña y cerrada comunidad, se sentían muy cómodos con un sistema abierto en el que la seguridad no fuera una preocupación primordial. Pero con los cerca de tres billones de personas que hacen uso de la web hoy en día, esa misma apertura se ha convertido en una grave vulnerabilidad y, de hecho, está poniendo en peligro las grandes oportunidades económicas que Internet ha abierto al mundo.

Un ciberataque puede adoptar una variedad de formas, desde las simples pruebas de sondeo a la desfiguración de sitios web, ataques de denegación de servicio, espionaje y destrucción de datos. Y el término “guerra informática” o “ciberguerra”, si bien se define mejor como cualquier acción hostil en el ciberespacio que amplifique o equivalga a una importante violencia física, sigue siendo igualmente altisonante, reflejando definiciones de “guerra” que van desde los conflictos armados a cualquier esfuerzo concertado para resolver un problema (por ejemplo, la “guerra contra la pobreza”).

La ciberguerra y el espionaje cibernético se asocian principalmente con los estados, mientras que el crimen y el terrorismo cibernéticos se asocian sobre todo con actores no estatales. Actualmente los costes más altos se derivan del espionaje y el crimen, pero en la próxima década la guerra cibernética y el ciberterrorismo pueden llegar a ser una amenaza mayor de lo que son hoy. Más aún, a medida que vayan evolucionando las alianzas y las tácticas, es posible que las categorías se superpongan. Los terroristas pueden comprar “malware” (o programas para uso malintencionado) a delincuentes, mientras que los gobiernos podrían considerarlo útil para ocultarse de ambos.

Algunas personas argumentan que la disuasión no funciona en el ciberespacio, debido a las dificultades para atribuir su origen. Pero se trata de un argumento débil: la atribución inadecuada también afecta la disuasión entre los Estados y, sin embargo, aun así funciona. Incluso cuando el origen de un ataque se pueda disfrazar bajo una “bandera falsa”, los gobiernos pueden verse lo suficientemente enredados en relaciones de interdependencia simétrica como para que un gran ataque sea contraproducente. China, por ejemplo, perdería mucho con un ataque que dañara gravemente la economía estadounidense, y viceversa.

También es posible disuadir a atacantes desconocidos mediante medidas de seguridad cibernética. Si los cortafuegos son fuertes o la redundancia y la resistencia permiten una rápida recuperación, o parece posible la perspectiva de una respuesta de aplicación automática (“una cerca eléctrica”), realizar un ataque se volverá menos atractivo.

Si bien la atribución exacta de la fuente última de un ataque cibernético a veces es difícil, la determinación no tiene que ser completamente irrefutable. En la medida en que las falsas banderas son imperfectas y los rumores de la fuente de un ataque se consideren ampliamente creíbles (aunque no se puedan probar legalmente), el daño al poder blando y la reputación del atacante puede contribuir a la disuasión.

Por último, tener reputación de contar con capacidad ofensiva y una política declarada que mantenga abiertos los medios de represalia pueden ayudar a reforzar la disuasión. Por supuesto, los actores no estatales son más difíciles de disuadir, por lo que en estos casos se vuelven importantes la mejora de las defensas y el uso de inteligencia humana con fines preventivos. Pero, entre los estados, incluso la disuasión nuclear resultó ser más compleja de lo que parecía al comienzo, y eso es doblemente cierto de la disuasión en el ámbito cibernético.

Dado su carácter global, Internet requiere un grado de cooperación internacional para poder funcionar. Algunas personas llaman a alcanzar el equivalente cibernético de los tratados formales de control de armas. Pero las diferencias en las normas culturales y la dificultad de realizar una verificación eficaz harían esos tratados difíciles de negociar o implementar. Al mismo tiempo, es importante dar más impulso a los esfuerzos internacionales para desarrollar normas de convivencia que puedan limitar el surgimiento de conflictos. Probablemente hoy las áreas más prometedoras para la cooperación sean los problemas internacionales a los que se enfrentan los estados debido a criminales y terroristas no estatales.

Rusia y China han intentado establecer un tratado para impulsar una amplia supervisión internacional de Internet y la “seguridad de la información”, que prohibiría el engaño y la incrustación de código malicioso o circuitos que puedan activarse en caso de guerra. Sin embargo, EE.UU. ha sostenido que las medidas de control de armas que prohíben capacidades ofensivas podrían debilitar las defensas contra los ataques y serían imposibles de verificar o hacer cumplir.

Del mismo modo, en términos de valores políticos, EE.UU. se ha resistido a los acuerdos que pudieran legitimar la censura de Internet por parte de gobiernos autoritarios como, por ejemplo, el “Gran cortafuegos de China”. Más aún, las diferencias culturales hacen difícil llegar a acuerdos amplios sobre la regulación de contenidos en línea.

Sin embargo, en muchas jurisdicciones nacionales es posible identificar como ilegales conductas como los delitos informáticos. Tratar de limitar todas las intrusiones sería imposible, pero se podría comenzar con los delitos y el terrorismo cibernéticos en que intervengan actores no estatales. En este respecto, los principales estados tendrían interés en limitar los daños al acordar cooperar en análisis forenses y medidas de control.

El dominio cibernético trasnacional plantea nuevas preguntas sobre el sentido de la seguridad nacional. Algunas de las respuestas más importantes deben ser nacionales y unilaterales, con énfasis en la profilaxis, la redundancia y capacidad de recuperación. Sin embargo, es probable que los principales gobiernos no tarden en descubrir que la inseguridad creada por los actores cibernéticos no estatales requerirá una cooperación más estrecha entre los países.