Escriben Mariano Bartolomรฉ y Alexander Ferreira
La administraciรณn Biden lanzรณ recientemente la Estrategia de Ciberseguridad Nacional de EE. UU., un instrumento que se vuelve cada vez mรกs imprescindible para la gestiรณn eficiente de las cuestiones cibernรฉticas, en tiempos en que esta tecnologรญa alcanza cada aspecto de la actividad humana. Esta situaciรณn se acentรบa dรญa a dรญa en todos los rincones del planeta, de la mano de un conjunto de avances tecnolรณgicos que constituyen el nรบcleo de la llamada โCuarta Revoluciรณn Industrialโ, concepto acuรฑado por el lรญder del Foro Econรณmico Mundial, Klaus Schwab. Se destacan, en este campo, el Big Data, la inteligencia artificial, el Internet de las Cosas y la tecnologรญa 5G, entre otros adelantos.
Dรญa a dรญa, aumenta la importancia del ciberespacio en todos los planos de la interacciรณn social, desde el interpersonal hasta el de las relaciones internacionales. Y, de la misma manera, se potencian los riesgos y amenazas que surgen y se despliegan desde ese entorno virtual. Los Estados mรกs avanzados, dotados de cierta capacidad prospectiva, no permanecen ajenos a este formidable desafรญo. Por eso, sus gobiernos diseรฑan e implementan complejos paquetes de medidas orientadas a lograr un ambiente seguro en el cual sus ciudadanos estรฉn protegidos de diversos ataques cibernรฉticos, sean estos locales o exรณgenos.
Empleando sin mucho rigor semรกntico un conocido concepto de la estrategia, este โestado final deseadoโ de protecciรณn es hoy denominado โciberseguridad nacionalโ. De acuerdo con expertos del Centro de Excelencia de la Organizaciรณn del Tratado del Atlรกntico Norte (OTAN), la ciberseguridad nacional implica la aplicaciรณn de medidas gubernamentales especรญficas destinadas a la protecciรณn de los sistemas de tecnologรญa de la informaciรณn y de las comunicaciones pรบblicas, privadas e internacionales relevantes, asรญ como a su contenido asociado.

Tales medidas de gobierno configuran el nรบcleo de una estrategia de ciberseguridad nacional. Sin embargo, su alcance va mucho mรกs allรก. Segรบn una agencia especializada de las Naciones Unidas, una estrategia de este tipo expresa la visiรณn, los objetivos de alto nivel, los principios y las prioridades que orientan a un paรญs a la hora de abordar la ciberseguridad. Ademรกs, refleja la concepciรณn general que tienen los agentes encargados de mejorar la ciberseguridad del paรญs y de sus respectivas funciones y responsabilidades. La estrategia de ciberseguridad nacional define normas y marcos jurรญdicos, a la vez que establece parรกmetros de cooperaciรณn pรบblico-privada.
UNA ESTRATEGIA AMBICIOSA
Todas estas condiciones se verifican en la estrategia aprobada hace poco tiempo en EE.UU., que en realidad constituye una actualizaciรณn de la ediciรณn inicial emitida en 2018. Este documento fue concebido para asegurar a sus ciudadanos los beneficios de un ecosistema digital que sea defendible โde una manera simple y efectivaโ, resiliente y, a la vez, congruente con un conjunto de valores centrales. Estos รบltimos incluyen la prosperidad econรณmica, el respeto a los derechos humanos y las libertades individuales, la vigencia de las instituciones democrรกticas, la diversidad y equidad sociales. Desde la administraciรณn demรณcrata en EE.UU., entienden que estos valores se encuentran amenazados en el ciberespacio por polรญticas autoritarias, que incluyen el robo de informaciรณn y propiedad intelectual, la desinformaciรณn, los ataques a la infraestructura crรญtica, la difusiรณn de discursos de odio y extremistas, y la actividad criminal.
La estrategia es relativamente breve, aunque mucho mรกs ambiciosa que sus textos precedentes en algunos aspectos. El primero de ellos tiene que ver con lo que Chris Inglis, el mรกs importante funcionario de la Casa Blanca para estas cuestiones, oportunamente denominรณ โun nuevo Contrato Social Cibernรฉticoโ; es decir, una novedosa distribuciรณn de responsabilidades en la prevenciรณn y mitigaciรณn de ataques generados en ese entorno. En esta lรญnea, se contemplan regulaciones obligatorias a empresas privadas de un amplio espectro de actividades, frente a amenazas cibernรฉticas de distinto tipo. El motivo de este avance es claro: la polรญtica gubernamental seguida hasta ahora, de invitar a las compaรฑรญas privadas a adherir voluntariamente a sus lineamientos de ciberseguridad, no siempre fue respondida en forma positiva por la contraparte. Es que la adopciรณn de normas y estรกndares de ciberseguridad puede afectar en forma negativa la innovaciรณn y rentabilidad del sector privado.
Cabe destacar que esta necesidad de imponer regulaciones efectivas se sustenta en ataques perpetrados a empresas de ese paรญs, que generaron un enorme daรฑo, tanto econรณmico como en tรฉrminos de reputaciรณn. Basta con recordar el caso de la tecnolรณgica Solar Winds, proveedora de programas informรกticos a numerosas agencias de gobierno, cuyo software Orion fue corrompido con un cรณdigo malicioso โluego fue denominado โSanburstโโ que facilitaba la exfiltraciรณn de datos. El ataque fue atribuido a un grupo de ciberespionaje denominado Fancy Bear, presuntamente vinculado al Kremlin. El caso Solar Winds mereciรณ una atenciรณn tal que llevรณ al gobierno estadounidense a constituir un grupo integrado por el FBI, la Agencia de Seguridad Nacional (NSA), la Agencia de Seguridad Cibernรฉtica y de Infraestructura (CISA) y la Direcciรณn Nacional de Inteligencia (ODNI).
Otro episodio de enorme trascendencia tuvo como blanco a Colonial Pipeline, administradora de una red de oleoductos que abastecรญa toda la costa oriental estadounidense, desde Texas a New Jersey, que cayรณ bajo el control de un grupo criminal llamado โDarksideโ, que solicitรณ una millonaria recompensa para deponer su actitud. Este รบltimo acontecimiento confirmรณ la vulnerabilidad de las infraestructuras crรญticas estadounidenses, esenciales para el normal funcionamiento de la sociedad moderna.

UNA POSTURA PROACTIVA
Un segundo aspecto para destacar de la estrategia, es que abandona definitivamente una postura defensiva. Asรญ, se autoriza a organismos de las รกreas de Defensa, inteligencia e imposiciรณn de la ley a diseรฑar y ejecutar operaciones ofensivas en el ciberespacio contra actores tanto estatales como no estatales, siempre que la conducta de estos atente contra los intereses nacionales. Como dato relevante, esos ciberataques no deben ser necesariamente una โretaliaciรณnโ frente a agresiones sufridas, sino que tambiรฉn pueden adquirir un carรกcter preemptivo. Sobre esta รบltima cuestiรณn, la estrategia dedica un pasaje a la disrupciรณn o desmantelamiento de acciones hostiles, en el que indica textualmente que el objetivo consiste en โhacer que actores maliciosos sean incapaces de montar campaรฑas cibernรฉticas que puedan amenazar la seguridad nacional o seguridad pรบblica de EE.UU.โ.
En este punto, se observa un claro alineamiento con el planteo de โdefensa adelantada e involucramiento persistenteโ, sostenido en materia cibernรฉtica por el Departamento de Defensa durante el รบltimo lustro. De este modo, se da a la estrategia un sesgo proactivo antes que reactivo al promover la bรบsqueda de un constante contacto con los adversarios dentro de sus propios espacios cibernรฉticos como mejor vรญa para defender los intereses nacionales propios y de los aliados. Esta postura es la que hoy adopta de cara al conflicto de Ucrania el titular del Comando Cibernรฉtico de las FF.AA. de EE. UU., Paul Nakasone, quien admitiรณ ante el Capitolio haber ejecutado operaciones cibernรฉticas ofensivas para apoyar a esa naciรณn europea en su respuesta a la invasiรณn.
A la hora de hablar de actores maliciosos, la estrategia no titubea en calificar a China como โla mรกs grande, activa y persistente amenaza a las redes del gobierno y el sector privadoโ de EE. UU., y destaca dos aspectos en particular del gigante asiรกtico: por un lado, su constante robo de propiedad intelectual a travรฉs de actividades de ciberespionaje; y, por otra parte, el empleo de Internet y las redes sociales como mecanismo de control de su poblaciรณn, que afecta en forma autoritaria sus derechos y garantรญas.
Esa polรญtica de control es ampliamente conocida y se plasma en el proyecto โEscudo Doradoโ, dirigido por el Ministerio de Seguridad Pรบblica de China y endurecido con el gobierno de Xi Jinping. Por otro lado, vale la pena tener presente la preocupaciรณn existente en EE. UU. respecto al robo de la propiedad intelectual. Un informe parlamentario calculรณ las dimensiones de ese daรฑo en casi 200.000 millones de dรณlares anuales. Y no solo involucra conocimientos civiles, sino tambiรฉn militares. De hecho, de acuerdo con algunas fuentes, el aviรณn de combate chino J-31 se basa en su par estadounidense F-35.

OTRAS AMENAZAS AL ACECHO
La Federaciรณn Rusa tambiรฉn es objeto de una consideraciรณn especial en la estrategia de ciberseguridad estadounidense, donde se subraya que el rรฉgimen de Putin emplea herramientas cibernรฉticas para desestabilizar gobiernos e interferir en sus asuntos domรฉsticos. Tampoco pasa desapercibida la ejecuciรณn de ciberataques rusos a infraestructuras crรญticas de Ucrania, al momento de la invasiรณn militar de su territorio. En todos estos casos, Moscรบ canaliza sus operaciones a travรฉs de grupos presuntamente independientes que, en realidad, orbitan en sus esferas de seguridad e inteligencia. Entre los mรกs importantes, y estudiados por los expertos en ciberseguridad, se encuentran Armagedon, Ghostwriter Sandworm y el ya mencionado Fancy Bear.
Por รบltimo, junto con el novedoso rol de la empresa privada en la prevenciรณn y mitigaciรณn de ciberataques y el abandono de posturas defensivas, EE.UU. asigna un rol relevante a la cooperaciรณn en materia cibernรฉtica con aliados y socios externos. En particular, le otorga un papel fundamental a la llamada โIniciativa Internacional contra el Ransomwareโ, integrada por mรกs de una docena de paรญses y toda la Uniรณn Europea. Todos ellos estรกn comprometidos en combatir el empleo de ese tipo de software malicioso por parte de espรญas, criminales e, incluso, actores estatales.
A modo de conclusiรณn, Washington pretende lograr, mantener y preservar una situaciรณn de protecciรณn de sus ciudadanos y las principales estructuras del paรญs, frente a amenazas y riesgos procedentes del ciberespacio. Para alcanzar esos objetivos, ha desarrollado una nueva Estrategia Nacional de Ciberseguridad, que incluye una estrecha asociaciรณn entre las esferas pรบblica y privada. Tambiรฉn tiene como meta garantizar que Internet siga siendo un entorno abierto, libre, global y, sobre todo, seguro, arraigado en los valores universales de respeto de los derechos humanos y las libertades individuales fundamentales.
Hoy el ciberespacio continรบa mostrando un limitado nivel de institucionalizaciรณn, paliado parcialmente por esfuerzos de gobernanza en ciertas รกreas temรกticas y espacios geogrรกficos. Sin embargo, estos esfuerzos, muchos de ellos impulsados desde las Naciones Unidas, no compensan la notable carencia de una convenciรณn global en esta materia. En este contexto, la flamante estrategia estadounidense podrรญa tener importantes efectos en la evoluciรณn del tablero cibernรฉtico global, signado por una โanarquรญa moderadaโ y la vigencia de polรญticas de poder.
Mariano Bartolomรฉ es profesor permanente del Colegio Interamericano de Defensa (CID)
Alexander Ferreira es coronel del Ejรฉrcito de Brasil y profesor de Ciberdefensa en el CID