Un ciberataque puede adoptar una variedad de formas, desde las simples pruebas de sondeo a la desfiguración de sitios web, ataques de denegación de servicio, espionaje y destrucción de datos. Y el término "guerra informática" o “ciberguerra”, si bien se define mejor como cualquier acción hostil en el ciberespacio que amplifique o equivalga a una importante violencia física, sigue siendo igualmente altisonante, reflejando definiciones de "guerra" que van desde los conflictos armados a cualquier esfuerzo concertado para resolver un problema (por ejemplo, la "guerra contra la pobreza").
La ciberguerra y el espionaje cibernético se asocian principalmente con los estados, mientras que el crimen y el terrorismo cibernéticos se asocian sobre todo con actores no estatales. Actualmente los costes más altos se derivan del espionaje y el crimen, pero en la próxima década la guerra cibernética y el ciberterrorismo pueden llegar a ser una amenaza mayor de lo que son hoy. Más aún, a medida que vayan evolucionando las alianzas y las tácticas, es posible que las categorías se superpongan. Los terroristas pueden comprar “malware” (o programas para uso malintencionado) a delincuentes, mientras que los gobiernos podrían considerarlo útil para ocultarse de ambos.
Actualmente los costes más altos se derivan del espionaje y el crimen, pero en la próxima década la guerra cibernética y el ciberterrorismo pueden llegar a ser una amenaza mayor de lo que son hoy. Más aún, a medida que vayan evolucionando las alianzas y las tácticas, es posible que las categorías se superpongan.
Algunas personas argumentan que la disuasión no funciona en el ciberespacio, debido a las dificultades para atribuir su origen. Pero se trata de un argumento débil: la atribución inadecuada también afecta la disuasión entre los Estados y, sin embargo, aun así funciona. Incluso cuando el origen de un ataque se pueda disfrazar bajo una "bandera falsa", los gobiernos pueden verse lo suficientemente enredados en relaciones de interdependencia simétrica como para que un gran ataque sea contraproducente. China, por ejemplo, perdería mucho con un ataque que dañara gravemente la economía estadounidense, y viceversa.
También es posible disuadir a atacantes desconocidos mediante medidas de seguridad cibernética. Si los cortafuegos son fuertes o la redundancia y la resistencia permiten una rápida recuperación, o parece posible la perspectiva de una respuesta de aplicación automática ("una cerca eléctrica"), realizar un ataque se volverá menos atractivo.
Si bien la atribución exacta de la fuente última de un ataque cibernético a veces es difícil, la determinación no tiene que ser completamente irrefutable. En la medida en que las falsas banderas son imperfectas y los rumores de la fuente de un ataque se consideren ampliamente creíbles (aunque no se puedan probar legalmente), el daño al poder blando y la reputación del atacante puede contribuir a la disuasión.
Por último, tener reputación de contar con capacidad ofensiva y una política declarada que mantenga abiertos los medios de represalia pueden ayudar a reforzar la disuasión. Por supuesto, los actores no estatales son más difíciles de disuadir, por lo que en estos casos se vuelven importantes la mejora de las defensas y el uso de inteligencia humana con fines preventivos. Pero, entre los estados, incluso la disuasión nuclear resultó ser más compleja de lo que parecía al comienzo, y eso es doblemente cierto de la disuasión en el ámbito cibernético.
Dado su carácter global, Internet requiere un grado de cooperación internacional para poder funcionar. Algunas personas llaman a alcanzar el equivalente cibernético de los tratados formales de control de armas. Pero las diferencias en las normas culturales y la dificultad de realizar una verificación eficaz harían esos tratados difíciles de negociar o implementar. Al mismo tiempo, es importante dar más impulso a los esfuerzos internacionales para desarrollar normas de convivencia que puedan limitar el surgimiento de conflictos. Probablemente hoy las áreas más prometedoras para la cooperación sean los problemas internacionales a los que se enfrentan los estados debido a criminales y terroristas no estatales.
Rusia y China han intentado establecer un tratado para impulsar una amplia supervisión internacional de Internet y la "seguridad de la información", que prohibiría el engaño y la incrustación de código malicioso o circuitos que puedan activarse en caso de guerra. Sin embargo, EE.UU. ha sostenido que las medidas de control de armas que prohíben capacidades ofensivas podrían debilitar las defensas contra los ataques y serían imposibles de verificar o hacer cumplir.
Del mismo modo, en términos de valores políticos, EE.UU. se ha resistido a los acuerdos que pudieran legitimar la censura de Internet por parte de gobiernos autoritarios como, por ejemplo, el “Gran cortafuegos de China". Más aún, las diferencias culturales hacen difícil llegar a acuerdos amplios sobre la regulación de contenidos en línea.
Sin embargo, en muchas jurisdicciones nacionales es posible identificar como ilegales conductas como los delitos informáticos. Tratar de limitar todas las intrusiones sería imposible, pero se podría comenzar con los delitos y el terrorismo cibernéticos en que intervengan actores no estatales. En este respecto, los principales estados tendrían interés en limitar los daños al acordar cooperar en análisis forenses y medidas de control.
El dominio cibernético trasnacional plantea nuevas preguntas sobre el sentido de la seguridad nacional. Algunas de las respuestas más importantes deben ser nacionales y unilaterales, con énfasis en la profilaxis, la redundancia y capacidad de recuperación. Sin embargo, es probable que los principales gobiernos no tarden en descubrir que la inseguridad creada por los actores cibernéticos no estatales requerirá una cooperación más estrecha entre los países.
(*) Ex subsecretario de Defensa EE.UU. y presidente del Consejo Nacional de Inteligencia de EE.UU. Es profesor universitario en la Universidad de Harvard. Él es el autor de Liderazgo Presidencial y la creación de la era americana .
FUENTE: ProjectSyndicate