Los principales Gobiernos no tardarán en descubrir que la inseguridad cibernética requiere una cooperación más estrecha
Hasta hace poco, la seguridad informática interesaba principalmente a los frikis informáticos y a los tipos aficionados a la intriga y el misterio. Los creadores de Internet, parte de una pequeña y cerrada comunidad, se sentían muy cómodos con un sistema abierto en el que la seguridad no fuera una preocupación primordial.
Pero con los cerca de 3.000 millones de personas que hacen uso de la web hoy en día, esa misma apertura se ha convertido en una grave vulnerabilidad y, de hecho, está poniendo en peligro las grandes oportunidades económicas que Internet ha abierto al mundo.
Un ciberataque puede adoptar una variedad de formas, desde las simples pruebas de sondeo a la desfiguración de sitios web, ataques de denegación de servicio, espionaje y destrucción de datos. Y los términos «guerra informática» o «ciberguerra», si bien se definen mejor como cualquier acción hostil en el ciberespacio que amplifique o equivalga a una importante violencia física, sigue siendo igualmente altisonante, reflejando definiciones de «guerra» que van desde los conflictos armados a cualquier esfuerzo concertado para resolver un problema (por ejemplo, la «guerra contra la pobreza»).
La ciberguerra y el espionaje cibernético se asocian principalmente con los Estados, mientras que el crimen y el terrorismo cibernéticos se asocian sobre todo con actores no estatales. Actualmente los costes más altos se derivan del espionaje y del crimen, pero en la próxima década la guerra cibernética y el ciberterrorismo pueden llegar a ser una amenaza mayor de lo que son hoy. Más aún, a medida que vayan evolucionando las alianzas y las tácticas, es posible que las categorías se superpongan. Los terroristas pueden comprar «malware» (programas para uso malintencionado) a delincuentes, mientras que los Gobiernos podrían considerarlo útil para ocultarse de ambos.
Algunas personas argumentan que la disuasión no funciona en el ciberespacio, debido a las dificultades para atribuir su origen. Pero se trata de un argumento débil: la atribución inadecuada también afecta la disuasión entre los Estados y, sin embargo, aun así funciona. Incluso cuando el origen de un ataque se pueda disfrazar bajo una «bandera falsa», los Gobiernos pueden verse lo suficientemente enredados en relaciones de interdependencia simétrica como para que un gran ataque sea contraproducente. China, por ejemplo, perdería mucho con un ataque que dañara gravemente la economía estadounidense, y viceversa.
Si los cortafuegos son fuertes, realizar un ataque se volverá menos atractivo
También es posible disuadir a atacantes desconocidos mediante medidas de seguridad cibernética. Si los cortafuegos son fuertes o la redundancia y la resistencia permiten una rápida recuperación, o parece posible la perspectiva de una respuesta de aplicación automática («una cerca eléctrica»), realizar un ataque se volverá menos atractivo.
Si bien la atribución exacta de la fuente última de un ataque cibernético a veces es difícil, la determinación no tiene que ser completamente irrefutable. En la medida en que las falsas banderas son imperfectas y los rumores de la fuente de un ataque se consideren ampliamente creíbles (aunque no se puedan probar legalmente), el daño al poder blando y la reputación del atacante puede contribuir a la disuasión.
Por último, tener la reputación de contar con capacidad ofensiva y una política declarada que mantenga abiertos los medios de represalia pueden ayudar a reforzar la disuasión. Por supuesto, los actores no estatales son más difíciles de disuadir, por lo que en estos casos se vuelven importantes la mejora de las defensas y el uso de inteligencia humana con fines preventivos. Pero, entre los Estados, incluso la disuasión nuclear resultó ser más compleja de lo que parecía al comienzo, y eso es doblemente cierto de la disuasión en el ámbito cibernético.
Dado su carácter global, Internet requiere un grado de cooperación internacional para poder funcionar. Algunas personas llaman a alcanzar el equivalente cibernético de los tratados formales de control de armas. Pero las diferencias en las normas culturales y la dificultad de realizar una verificación eficaz harían esos tratados difíciles de negociar o implementar.
Al mismo tiempo, es importante dar más impulso a los esfuerzos internacionales para desarrollar normas de convivencia que puedan limitar el surgimiento de conflictos. Probablemente hoy las áreas más prometedoras para la cooperación sean los problemas internacionales a los que se enfrentan los Estados debido a criminales y terroristas no estatales.
Estados Unidos se resiste a acuerdos que puedan legitimar la censura de Gobiernos autoritarios
Rusia y China han intentado establecer un tratado para impulsar una amplia supervisión internacional de Internet y la «seguridad de la información», que prohibiría el engaño y la inclusión de un código malicioso o de circuitos que puedan activarse en caso de guerra. Sin embargo, Estados Unidos ha sostenido que las medidas de control de armas que prohíben capacidades ofensivas podrían debilitar las defensas contra los ataques y serían imposibles de verificar o hacer cumplir.
Del mismo modo, en términos de valores políticos, Estados Unidos se ha resistido a los acuerdos que puedan legitimar la censura de Internet por parte de Gobiernos autoritarios como, por ejemplo, el «gran cortafuegos de China». Más aún, las diferencias culturales hacen difícil llegar a acuerdos amplios sobre la regulación de contenidos en línea.
Sin embargo, en muchas jurisdicciones nacionales es posible identificar como ilegales conductas como los delitos informáticos. Tratar de limitar todas las intrusiones sería imposible, pero se podría comenzar con los delitos y el terrorismo cibernéticos en que intervengan actores no estatales. A este respecto, los principales Estados tendrían interés en limitar los daños al acordar la cooperación en análisis forenses y medidas de control.
El dominio cibernético trasnacional plantea nuevas preguntas sobre el sentido de la seguridad nacional. Algunas de las respuestas más importantes deben ser nacionales y unilaterales, con énfasis en la profilaxis, la redundancia y capacidad de recuperación. Sin embargo, es probable que los principales Gobiernos no tarden en descubrir que la inseguridad creada por los actores cibernéticos no estatales requerirá una cooperación más estrecha entre los países.
Joseph S. Nye, Jr. es profesor de la Escuela de Gobierno Kennedy de la Universidad de Harvard y autor de El futuro del poder’.