Artículos

Disuadir los ciberataques: viejos problemas, nuevas soluciones

por Joe Burton traducción David Ormeño

A medida que se profundiza la investigación sobre la injerencia de Rusia en las elecciones estadounidenses, resulta evidente que los acontecimientos de 2016 no son más que la punta del iceberg.

Desde el ataque cibernético ruso contra Estonia en 2007, los responsables de la formulación de políticas y los expertos en ciberseguridad han debatido sobre la mejor manera de disuadir los ataques cibernéticos que cruzan las fronteras internacionales. Sin embargo, tanto los agentes estatales como los no estatales siguen utilizando Internet con fines maliciosos con un nivel inaceptable de impunidad.

Se prevé que el creciente mercado mundial de la delincuencia cibernética alcanzará los 6 billones de dólares en 2021. La reducción del riesgo requiere nuevos enfoques.

Problemas antiguos

Fundamentalmente, la disuasión consiste en convencer a un adversario de que los costos de un ataque superan los beneficios. Uno de los problemas de la política de disuasión cibernética ha sido la dependencia de las ideas que se formularon en el muy diferente entorno de seguridad de la Guerra Fría.

Los conceptos de la Guerra Fría se basan en la disuasión mediante el castigo (contraatacar a un adversario con ataques de represalia) y la disuasión mediante la negación (negar a su adversario la capacidad de un primer ataque, por ejemplo, al tener demasiados sitios ocultos de misiles nucleares). Aunque estos modelos binarios pueden haberse aplicado en el contexto de dos superpotencias nucleares atrapadas en un conflicto geopolítico de décadas, no se traducen fácilmente en una red global de ordenadores interconectados.

El primer problema es la atribución. Si no puede identificar al actor responsable de un ataque cibernético, ¿cómo puede castigarlo? Los ataques cibernéticos de represalia también pueden causar daños colaterales. Arrastran a terceros que pueden acudir en ayuda del adversario, intensifican el ciberconflicto y legitiman el uso de las capacidades cibernéticas para obtener beneficios políticos y estratégicos. La posibilidad de utilizar la fuerza militar para castigar a los ciberataques también se considera desproporcionada como respuesta a la mayoría de las actividades cibernéticas maliciosas.

La disuasión mediante la negación es un marco igualmente problemático. La “superficie de ataque” que presenta Internet es asombrosamente grande. El número de servicios conectados a Internet alcanzará los 75.000 millones en 2025. No es realista esperar que podamos garantizar que todos esos dispositivos sean seguros y no puedan utilizarse como puertas traseras de otros sistemas informáticos.

Nuevas soluciones

Antes de dejar el cargo, la administración Obama asignó 19.000 millones de dólares para la investigación sobre seguridad cibernética.

Una de las prioridades de esta financiación era garantizar nuevas mejoras de las tecnologías y procesos de atribución. Esto podría marcar una gran diferencia en la eficacia de la disuasión cibernética, especialmente cuando se combina con una comunicación más clara por parte de los responsables de la formulación de políticas acerca de las pruebas que tienen sobre el origen de los ataques. Cortar a través del humo y los espejos puestos en marcha alrededor de las operaciones cibernéticas del gobierno de Putin debería ser una alta prioridad.

Otra propuesta radical es cambiar el funcionamiento de Internet para que se convierta en una red identificada y atribuida en la que el inicio de sesión implica proporcionar una identificación personal específica. A esto se le ha prestado mucha atención en la comunidad de seguridad nacional de los Estados Unidos (NdT: esto sugiere algo que atenta contra la privacidad y no nos parece buena idea).

Tiene implicaciones obvias para mantener Internet como un recurso global libre y abierto. Pero Internet tendrá que seguir evolucionando para hacer frente al creciente impacto de los ciberataques. La construcción de un dominio más seguro para el tráfico de Internet vale la pena considerar.

Cambiar nuestra forma de pensar sobre los ataques

Las nuevas tecnologías pueden ayudar a mejorar la disuasión cibernética, pero también tendremos que cambiar nuestra forma de pensar. Durante la Guerra Fría, la disuasión era absoluta. Incluso un ataque podría haber sido devastador. En cambio, la disuasión en el ciberespacio será acumulativa. Como ha argumentado el estudioso Uri Tor, la ciberdisuasión se trata de cómo “posponer, limitar y dar forma a una serie de conflictos en curso con una variedad de actores estatales y subestatales”. No se trata de prevenir todos los ataques en todo momento.

Debería prestarse mayor atención al papel de las leyes y normas en la disuasión de las actividades cibernéticas maliciosas. Algunos países ni siquiera tienen leyes vigentes que tipifiquen como delito la piratería informática. Esto podría resolverse mediante la adhesión de un mayor número de Estados al Convenio de Budapest sobre la ciberdelincuencia, que exige la adopción de leyes sobre la ciberdelincuencia y permite la colaboración policial para hacer frente a los ciberataques.

Las nuevas propuestas que surgen del proceso del Manual de Tallinn 2.0 sugieren la aparición de mecanismos de disuasión a través del derecho internacional. Esto incluye exigir a los Estados que rindan cuentas legalmente cuando los hackers operan con impunidad desde su territorio o son dirigidos por el Estado. En este escenario, puede surgir una forma de autodisuasión cuando los gobiernos se dan cuenta de que los hackers suponen un riesgo para los propios Estados.

Sistemas elásticos

La resiliencia cibernética implica disponer de copias de seguridad de las redes informáticas y de los servicios sociales que prestan. Un ataque cibernético tendría un impacto mínimo si existieran sistemas que sustituyeran a un servicio de Internet tan rápidamente como se desmonta.

La resistencia cibernética es especialmente prometedora para los proveedores de infraestructuras críticas en los sectores del transporte, la salud y la energía. Estas organizaciones nunca tendrán la autoridad para disuadir los ataques cibernéticos a través de represalias cibernéticas, pero necesitan encontrar formas de ocultar los objetivos cibernéticos que tienen en sus espaldas.

De manera similar, dados los recientes esfuerzos para subvertir la democracia a través de operaciones cibernéticas, el concepto de resiliencia tendrá un atractivo particular para el sector de la gobernabilidad electoral. Construir resiliencia en nuestros sistemas electorales (incluyendo la publicidad electoral en los medios sociales) es una prioridad para los países democráticos, especialmente a la luz de los recientes escándalos sobre el mal uso de los datos de Facebook por parte de Cambridge Analytica durante las elecciones estadounidenses.