Proteger a Estados Unidos de los ataques cibernéticos

Newsweek México
·11  min de lectura

Dado que las naciones extranjeras se han vuelto más agresivas y las herramientas a su disposición son cada vez más sofisticadas, ¿la mejor estrategia cibernética de Estados Unidos es pasar a la ofensiva? ¿O debería apuntalar sus defensas? Aquí las reflexiones de dos expertos en el tema.

LA MEJOR DEFENSA ES UNA BUENA OFENSIVA (CIBERNÉTICA)

Por Jamil N. Jaffer

ESTAMOS EN GUERRA en el ciberespacio. Aun cuando los abogados podrían objetar las definiciones de los ataques armados, el hecho es que, por alrededor de una década, hemos estado en una serie de conflictos constantes —aunque de pequeña escala— en el ciberespacio. Se han intensificado recientemente, sobre todo desde el comienzo de la pandemia del COVID-19, y han tenido un impacto enorme en los sectores público y privado de Estados Unidos. De manera independiente, la guerra económica, posibilitada por la cibernética, llevada a cabo por China drena al sector privado estadounidense de miles de millones de dólares al año, y los daños totales se calculan en billones. El general Keith B. Alexander, exdirector de la Agencia de Seguridad Nacional, describió esta acción concertada como “la más grande transferencia de riqueza en la historia humana”.

Aún peor, solo en los últimos seis años hemos visto a nuestros adversarios llevar a cabo ataques equivalentes a actos de guerra. Por ejemplo, hemos visto a Corea del Norte e Irán participar en la destrucción afirmativa de datos y el bloqueo de sistemas de cómputo aquí en Estados Unidos. Y el grado de esa amenaza sigue creciendo. Solo el año pasado, Dan Coats, entonces director de Inteligencia Nacional, le dijo al Congreso que Irán está “preparándose [activamente] para ataques cibernéticos contra Estados Unidos y nuestros aliados”, y señaló que “China tiene la capacidad de lanzar ataques cibernéticos [en Estados Unidos] que [podrían] provocar… la interrupción de un ducto de gas natural por días o semanas”. La campaña encubierta rusa de influencia debilitó la confianza del público en nuestras elecciones y las instituciones del Estado de derecho, pero Rusia también “mapea [activamente] nuestra infraestructura crucial con la meta a largo plazo de ser capaz de provocar un daño sustancial”, incluido el “interrumpir una red de distribución eléctrica por lo menos por unas cuantas horas”.

No obstante los costos significativos que estas actividades le imponen al pueblo estadounidense y la economía, los rusos y otros han pagado muy poco por sus acciones. Aun cuando se le han impuesto sanciones limitadas a Rusia (principalmente porque el Congreso las impulsó), hemos acusado a actores clave tanto en Rusia como en China e impuesto algunas medidas comerciales limitadas contra China, el ritmo continuo de la actividad de nuestros adversarios en el ciberespacio deja en claro que estén en gran medida decididos. Esto es especialmente claro dada la actividad frenética que hemos visto en meses recientes mientras los actores amenazantes han buscado ganancias financieras y estratégicas, incluido el ataque a instituciones que llevan a cabo la investigación de vanguardia en vacunas.

Y, aun así, incluso a la luz de todo esto, hay quienes querrán desarmarnos unilateralmente —o por lo menos constreñirnos considerablemente— cuando se trata de responder a actividades cibernéticas.

Lee: EU acusa a dos hackers chinos de robar información sobre vacuna de COVID-19

Con el fin de detener la arremetida actual en el ciberespacio, debemos disuadir efectivamente a nuestros oponentes al hacer que los costos de tomar acciones en nuestra contra sobrepasen a los beneficios. Por demasiado tiempo hemos fallado en hacer esto en la naciente guerra cibernética y, como resultado, nuestros enemigos se han vuelto más osados. Siendo así, el hecho de que las acciones ofensivas estadounidenses en el ciberespacio pudieran ser dolorosas para nuestros adversarios no es un error, es una característica. Debemos ser cuidadosos de evitar imponer innecesariamente costos a los civiles, o provocar un daño gratuito a la gente y las propiedades. Pero en la mayor parte de la década, nuestros oponentes han debilitado fundamentalmente nuestra economía, llevado a cabo ataques deliberados y destructivos, y están implementando activamente capacidades para realizar un daño muy real a nuestra gente. Dado todo esto, ahora es exactamente el tiempo incorrecto para desarmarnos unilateralmente.

No obstante algunos importantes cambios recientes en nuestra postura de respuesta cibernética, todavía enfrentamos una arremetida significativa. Hay muchas razones de esta, incluido el que cuando sí actuamos, nuestras respuestas parecen haber sido muy limitadas en su naturaleza y tal vez no imponen costos lo bastante significativos. Debemos ser claros con respecto a nuestras capacidades, hacer pública una política declaratoria clara de los límites cibernéticos y estar dispuestos seriamente a tomar una acción rápida, decisiva y visible cuando se crucen estos límites. No es que la disuasión no funcione o no pueda funcionar en el ciberespacio; es que nosotros simplemente no practicamos en realidad la disuasión hoy día.

Y para quienes dicen que la disuasión siempre es intensificadora, solo se necesita mirar la historia reciente para demostrarles que están equivocados. En la parte inicial de la guerra civil siria, no obstante su tristemente célebre límite sobre el uso de armas químicas en Siria, el presidente Obama dio rodeos de manera pública después de que el régimen de Assad usó sarín (un arma química) contra su propio pueblo. Él finalmente retrocedió, debilitándonos significativamente a los ojos de amigos y enemigos por igual.

En contraste, cuando la administración actual respondió a los ataques subsidiarios iraníes, que mataron a estadounidenses en Irak, con un golpe devastador que mató al líder de su élite militar, Qassem Soleimani, los periódicos estadounidenses estaban llenos de editoriales que opinaban que estábamos en el precipicio de una guerra a escala total con Irán. Todo ese retorcerse las manos fue por nada. En vez de llevarnos a la guerra, la respuesta audaz y fuerte de la administración actual llamó la atención de los iraníes, obligándolos a replantearse sus décadas de ataques contra las fuerzas estadounidenses.

Entonces, ¿qué nos dice todo esto? Primero, debe quedar en claro que, con las amenazas cibernéticas en un máximo histórico, ahora no es el momento de retroceder. Al contrario, debemos proveer más recursos y autoridad a quienes combaten al enemigo en el ciberespacio. Segundo, debemos ayudar a redoblar nuestras defensas en casa para que podamos limitar el daño causado. El gobierno estadounidense debe proveer una asistencia directa, efectiva y en tiempo real a los proveedores de infraestructura crucial en el sector privado para ayudarlos a mejor rápidamente sus defensas. Este enfoque de defensa colectiva requerirá que el gobierno recabe y comparta inteligencia altamente clasificada a gran escala y velocidad, y colabore activamente con el sector privado en la defensa. Si hemos de tener éxito en esta guerra muy real, debemos dejarle en claro al mundo que aun cuando no empezamos esta pelea, le pondremos fin de manera exitosa.

“El hecho de que las acciones ofensivas estadounidenses en el ciberespacio pudieran ser dolorosas para nuestros adversarios no es un error, es una característica”. Foto: Hiroshi Watanabe/Getty

ESTADOS UNIDOS NECESITA UNA ESTRATEGIA CIBERNÉTICA DISEÑADA PARA LA DEFENSA

Por Bonnie Kristian

LA GUERRA CIBERNÉTICA es una entrada nueva en el juego de herramientas de la política exterior, tanto así que nuestro gobierno parece inseguro sobre cómo clasificarla. ¿Debemos pensar los ataques cibernéticos como sanciones? ¿Ataques aéreos? ¿Espionaje? ¿“Guerra” es un nombre poco apropiado? Aun cuando cualquier terminología tendrá sus fallas, sería mejor considerar los ataques cibernéticos como una táctica expansible que puede funcionar como un arma de guerra, un arma —como cualquier otra convencional— cuyo uso por parte de Estados Unidos debe estar sujeto a la supervisión constitucional, constreñido por normas que protejan a civiles inocentes y diseñado para la defensa.

En palabras comunes, un “ataque cibernético” puede ser cualquier cosa, desde el phishing hasta el secuestro de datos, desde los ataques de negación de servicio hasta las filtraciones masivas de datos personales o comunicaciones, desde la intromisión en elecciones extranjeras a través de la manipulación de los votantes o el sabotaje de los resultados electorales hasta apagar redes eléctricas, desde dañar centrífugas nucleares hasta provocar explosiones de manera remota o inhabilitar las defensas enemigas. Si el “internet de las cosas” se expande y el uso de vehículos autónomos se difunde, el potencial destructivo de la guerra cibernética aumentará rápidamente.

Hacer estallar un edificio, sobre todo si la explosión mata personas o daña infraestructura de seguridad nacional, no es un acto menos grave solo porque el arma elegida sea digital. El daño a importantes empresas de servicios públicos o la confusión política provocada por la intromisión electoral son tan capaces de costar vidas como las explosiones.

Esta adaptabilidad presenta un grado de incertidumbre ausente en las armas y técnicas más convencionales, y esa incertidumbre hace que la restricción y responsabilidad en el uso de la guerra cibernética en la política exterior estadounidense sean aún más importantes.

Te puede interesar: Cómo unos hackers extorsionaron más de un millón de dólares a una universidad de EU que investiga una cura para el coronavirus

Esta laxitud es un error que pone en riesgo la seguridad de Estados Unidos. La CIA ya ha usado su nuevo poder para “una combinación de cosas destructivas”, le dijo un exfuncionario estadounidense a Yahoo! News, “y también la divulgación pública de datos: filtraciones o cosas que se parecen a filtraciones”. Este es el tipo de comportamiento que fácilmente podría hundirnos en una guerra, pero la Constitución le asigna el poder de iniciar una guerra exclusivamente a la legislatura, y el papel de comandante en jefe al presidente. Pasarle esas responsabilidades a una agencia que por naturaleza opera en secreto es una abrogación peligrosa y poco democrática del deber. El pueblo estadounidense y los militares nunca deben estar en riesgo de verse comprometidos en un conflicto iniciado por la burocracia.

También son vitales las protecciones civiles, como aquellas para otras armas de guerra. Brad Smith, presidente de Microsoft, ha argumentado a favor de unos “convenios de Ginebra digitales”, los cuales “pedirían a los gobiernos del mundo que prometan el no comprometerse en ataques cibernéticos contra el sector privado, que no atacarán infraestructura civil, ya sea de la variedad eléctrica o económica o política”, y que “no acopiarán vulnerabilidades”, ocultándolas de las partes particulares que podrían reparar esos problemas. Un convenio internacional tal vez no sea factible o incluso deseable, pero no lo necesitamos para que Estados Unidos codifique tales compromisos en nuestras leyes para proteger a los civiles aquí y en el extranjero.

Finalmente, más allá de estas restricciones de procedimiento y humanitarias, el uso estadounidense de la guerra cibernética se debe predicar con base en una estrategia de defensa, no de ofensiva. “En todo el gobierno federal estadounidense”, según reportó Reuters, un increíble “90 por ciento de todo el gasto en programas cibernéticos se dedica a acciones ofensivas”.

Esto es exactamente un paso atrás, y notablemente imprudente. Ese financiamiento debería cambiarse de inmediato a medidas defensivas. Esto incluiría endurecer los blancos en línea, como argumentan Brandon Valeriano y Benjamin Jensen, eruditos del Instituto Cato, en su análisis de 2019 sobre la restricción en la defensa digital. Esto “puede ir desde emplear hackers ‘de sombrero blanco’, hackers éticos de computadoras que penetran los sistemas con el fin de identificar vulnerabilidades, hasta actualizar los sistemas de defensa cibernética con regularidad”, señalan, así como educar mejor al personal federal sobre la naturaleza de las amenazas digitales.

Asegurar la infraestructura importante y los sistemas de armas es especialmente relevante. La Oficina de Responsabilidad Gubernamental reportó en 2018 que “de 2012 a 2017, los probadores [del Departamento de Defensa] rutinariamente hallaron vulnerabilidades cibernéticas esenciales en casi todos los sistemas de armas que estaban en desarrollo. Usando herramientas y técnicas relativamente simples, en las pruebas fueron capaces de tomar el control de estos sistemas y, en gran medida, operar sin ser detectados”. En este contexto, esa cifra del 90 por ciento representa una negligencia del todo inexcusable. Contrario al cliché deportivo usual, como sostienen Valeriano y Jensen, “en el ciberespacio, la mejor defensa es en realidad una buena defensa”.

Carente de esas mejoras, las defensas cibernéticas de nuestro gobierno están lejos de ser lo que deberían ser, como lo demostraron demasiado bien el hackeo a la Oficina de Manejo de Personal en 2016 y el ataque de este año al Departamento de Salud y Servicios Humanos. En vez de buscar un conflicto que bien podría intensificarse hasta una guerra a tiros, Washington debería enfocarse en hacer más segura su propia casa. Dejen de jugar al hacker en el extranjero y apuntalen nuestras defensas, sobre todo cuando los miedos de una interferencia electoral extranjera son tan altos. Hagan de la seguridad cibernética una fuente de fortaleza en vez de un riesgo mediante terminar nuestros programas de intromisión agresiva en el espacio digital de otras naciones e impidiendo su intromisión en el nuestro.

—∞—

Jamil N. Jaffer es fundador y director ejecutivo del Instituto de Seguridad Nacional, en la Escuela de Derecho Antonin Scalia de la Universidad George Mason.

—∞—

Bonnie Kristian es investigadora en Defense Priorities y editora colaboradora de The Week.

—∞—

Las opiniones expresadas en estos artículos son responsabilidad de los autores.

—∞—

Publicado en cooperación con Newsweek / Published in cooperation with Newsweek