El Big Data, la Inteligencia Artificial, la Internet de las Cosas y la tecnología 5G presentan múltiples oportunidades, pero la actividad criminal de actores estatales y no estatales plantea serios retos. Esas amenazas han llevado al Pentágono revisar su estrategia de ciberseguridad nacional en clave no solamente defensiva sino también ofensiva.
Escriben Mariano Bartolomé y Alexander Ferreira
La administración Biden lanzó recientemente la Estrategia de Ciberseguridad Nacional de EE. UU., un instrumento que se vuelve cada vez más imprescindible para la gestión eficiente de las cuestiones cibernéticas, en tiempos en que esta tecnología alcanza cada aspecto de la actividad humana. Esta situación se acentúa día a día en todos los rincones del planeta, de la mano de un conjunto de avances tecnológicos que constituyen el núcleo de la llamada “Cuarta Revolución Industrial”, concepto acuñado por el líder del Foro Económico Mundial, Klaus Schwab. Se destacan, en este campo, el Big Data, la inteligencia artificial, el Internet de las Cosas y la tecnología 5G, entre otros adelantos.
Día a día, aumenta la importancia del ciberespacio en todos los planos de la interacción social, desde el interpersonal hasta el de las relaciones internacionales. Y, de la misma manera, se potencian los riesgos y amenazas que surgen y se despliegan desde ese entorno virtual. Los Estados más avanzados, dotados de cierta capacidad prospectiva, no permanecen ajenos a este formidable desafío. Por eso, sus gobiernos diseñan e implementan complejos paquetes de medidas orientadas a lograr un ambiente seguro en el cual sus ciudadanos estén protegidos de diversos ataques cibernéticos, sean estos locales o exógenos. Empleando sin mucho rigor semántico un conocido concepto de la estrategia, este “estado final deseado” de protección es hoy denominado “ciberseguridad nacional”. De acuerdo con expertos del Centro de Excelencia de la Organización del Tratado del Atlántico Norte (OTAN), la ciberseguridad nacional implica la aplicación de medidas gubernamentales específicas destinadas a la protección de los sistemas de tecnología de la información y de las comunicaciones públicas, privadas e internacionales relevantes, así como a su contenido asociado.
Tales medidas de gobierno configuran el núcleo de una estrategia de ciberseguridad nacional. Sin embargo, su alcance va mucho más allá. Según una agencia especializada de las Naciones Unidas, una estrategia de este tipo expresa la visión, los objetivos de alto nivel, los principios y las prioridades que orientan a un país a la hora de abordar la ciberseguridad. Además, refleja la concepción general que tienen los agentes encargados de mejorar la ciberseguridad del país y de sus respectivas funciones y responsabilidades. La estrategia de ciberseguridad nacional define normas y marcos jurídicos, a la vez que establece parámetros de cooperación público-privada.
UNA ESTRATEGIA AMBICIOSA
Todas estas condiciones se verifican en la estrategia aprobada hace poco tiempo en EE.UU., que en realidad constituye una actualización de la edición inicial emitida en 2018. Este documento fue concebido para asegurar a sus ciudadanos los beneficios de un ecosistema digital que sea defendible –de una manera simple y efectiva–, resiliente y, a la vez, congruente con un conjunto de valores centrales. Estos últimos incluyen la prosperidad económica, el respeto a los derechos humanos y las libertades individuales, la vigencia de las instituciones democráticas, la diversidad y equidad sociales. Desde la administración demócrata en EE.UU., entienden que estos valores se encuentran amenazados en el ciberespacio por políticas autoritarias, que incluyen el robo de información y propiedad intelectual, la desinformación, los ataques a la infraestructura crítica, la difusión de discursos de odio y extremistas, y la actividad criminal.
La estrategia es relativamente breve, aunque mucho más ambiciosa que sus textos precedentes en algunos aspectos. El primero de ellos tiene que ver con lo que Chris Inglis, el más importante funcionario de la Casa Blanca para estas cuestiones, oportunamente denominó “un nuevo Contrato Social Cibernético”; es decir, una novedosa distribución de responsabilidades en la prevención y mitigación de ataques generados en ese entorno. En esta línea, se contemplan regulaciones obligatorias a empresas privadas de un amplio espectro de actividades, frente a amenazas cibernéticas de distinto tipo. El motivo de este avance es claro: la política gubernamental seguida hasta ahora, de invitar a las compañías privadas a adherir voluntariamente a sus lineamientos de ciberseguridad, no siempre fue respondida en forma positiva por la contraparte. Es que la adopción de normas y estándares de ciberseguridad puede afectar en forma negativa la innovación y rentabilidad del sector privado.
Cabe destacar que esta necesidad de imponer regulaciones efectivas se sustenta en ataques perpetrados a empresas de ese país, que generaron un enorme daño, tanto económico como en términos de reputación. Basta con recordar el caso de la tecnológica Solar Winds, proveedora de programas informáticos a numerosas agencias de gobierno, cuyo software Orion fue corrompido con un código malicioso –luego fue denominado “Sanburst”– que facilitaba la exfiltración de datos. El ataque fue atribuido a un grupo de ciberespionaje denominado Fancy Bear, presuntamente vinculado al Kremlin. El caso Solar Winds mereció una atención tal que llevó al gobierno estadounidense a constituir un grupo integrado por el FBI, la Agencia de Seguridad Nacional (NSA), la Agencia de Seguridad Cibernética y de Infraestructura (CISA) y la Dirección Nacional de Inteligencia (ODNI).
Otro episodio de enorme trascendencia tuvo como blanco a Colonial Pipeline, administradora de una red de oleoductos que abastecía toda la costa oriental estadounidense, desde Texas a New Jersey, que cayó bajo el control de un grupo criminal llamado “Darkside”, que solicitó una millonaria recompensa para deponer su actitud. Este último acontecimiento confirmó la vulnerabilidad de las infraestructuras críticas estadounidenses, esenciales para el normal funcionamiento de la sociedad moderna.
UNA POSTURA PROACTIVA
Un segundo aspecto para destacar de la estrategia, es que abandona definitivamente una postura defensiva. Así, se autoriza a organismos de las áreas de Defensa, inteligencia e imposición de la ley a diseñar y ejecutar operaciones ofensivas en el ciberespacio contra actores tanto estatales como no estatales, siempre que la conducta de estos atente contra los intereses nacionales. Como dato relevante, esos ciberataques no deben ser necesariamente una “retaliación” frente a agresiones sufridas, sino que también pueden adquirir un carácter preemptivo. Sobre esta última cuestión, la estrategia dedica un pasaje a la disrupción o desmantelamiento de acciones hostiles, en el que indica textualmente que el objetivo consiste en “hacer que actores maliciosos sean incapaces de montar campañas cibernéticas que puedan amenazar la seguridad nacional o seguridad pública de EE.UU.”.
En este punto, se observa un claro alineamiento con el planteo de “defensa adelantada e involucramiento persistente”, sostenido en materia cibernética por el Departamento de Defensa durante el último lustro. De este modo, se da a la estrategia un sesgo proactivo antes que reactivo al promover la búsqueda de un constante contacto con los adversarios dentro de sus propios espacios cibernéticos como mejor vía para defender los intereses nacionales propios y de los aliados. Esta postura es la que hoy adopta de cara al conflicto de Ucrania el titular del Comando Cibernético de las FF.AA. de EE. UU., Paul Nakasone, quien admitió ante el Capitolio haber ejecutado operaciones cibernéticas ofensivas para apoyar a esa nación europea en su respuesta a la invasión.
A la hora de hablar de actores maliciosos, la estrategia no titubea en calificar a China como “la más grande, activa y persistente amenaza a las redes del gobierno y el sector privado” de EE. UU., y destaca dos aspectos en particular del gigante asiático: por un lado, su constante robo de propiedad intelectual a través de actividades de ciberespionaje; y, por otra parte, el empleo de Internet y las redes sociales como mecanismo de control de su población, que afecta en forma autoritaria sus derechos y garantías.
Esa política de control es ampliamente conocida y se plasma en el proyecto “Escudo Dorado”, dirigido por el Ministerio de Seguridad Pública de China y endurecido con el gobierno de Xi Jinping. Por otro lado, vale la pena tener presente la preocupación existente en EE. UU. respecto al robo de la propiedad intelectual. Un informe parlamentario calculó las dimensiones de ese daño en casi 200.000 millones de dólares anuales. Y no solo involucra conocimientos civiles, sino también militares. De hecho, de acuerdo con algunas fuentes, el avión de combate chino J-31 se basa en su par estadounidense F-35.
OTRAS AMENAZAS AL ACECHO
La Federación Rusa también es objeto de una consideración especial en la estrategia de ciberseguridad estadounidense, donde se subraya que el régimen de Putin emplea herramientas cibernéticas para desestabilizar gobiernos e interferir en sus asuntos domésticos. Tampoco pasa desapercibida la ejecución de ciberataques rusos a infraestructuras críticas de Ucrania, al momento de la invasión militar de su territorio. En todos estos casos, Moscú canaliza sus operaciones a través de grupos presuntamente independientes que, en realidad, orbitan en sus esferas de seguridad e inteligencia. Entre los más importantes, y estudiados por los expertos en ciberseguridad, se encuentran Armagedon, Ghostwriter Sandworm y el ya mencionado Fancy Bear.
Por último, junto con el novedoso rol de la empresa privada en la prevención y mitigación de ciberataques y el abandono de posturas defensivas, EE.UU. asigna un rol relevante a la cooperación en materia cibernética con aliados y socios externos. En particular, le otorga un papel fundamental a la llamada “Iniciativa Internacional contra el Ransomware”, integrada por más de una docena de países y toda la Unión Europea. Todos ellos están comprometidos en combatir el empleo de ese tipo de software malicioso por parte de espías, criminales e, incluso, actores estatales.
A modo de conclusión, Washington pretende lograr, mantener y preservar una situación de protección de sus ciudadanos y las principales estructuras del país, frente a amenazas y riesgos procedentes del ciberespacio. Para alcanzar esos objetivos, ha desarrollado una nueva Estrategia Nacional de Ciberseguridad, que incluye una estrecha asociación entre las esferas pública y privada. También tiene como meta garantizar que Internet siga siendo un entorno abierto, libre, global y, sobre todo, seguro, arraigado en los valores universales de respeto de los derechos humanos y las libertades individuales fundamentales.
Hoy el ciberespacio continúa mostrando un limitado nivel de institucionalización, paliado parcialmente por esfuerzos de gobernanza en ciertas áreas temáticas y espacios geográficos. Sin embargo, estos esfuerzos, muchos de ellos impulsados desde las Naciones Unidas, no compensan la notable carencia de una convención global en esta materia. En este contexto, la flamante estrategia estadounidense podría tener importantes efectos en la evolución del tablero cibernético global, signado por una “anarquía moderada” y la vigencia de políticas de poder.
Mariano Bartolomé es profesor permanente del Colegio Interamericano de Defensa (CID)
Alexander Ferreira es coronel del Ejército de Brasil y profesor de Ciberdefensa en el CID
