El caso SolarWinds es un llamado de atención

El reciente descubrimiento del devastador ciberataque Sunburst, contra blancos estadounidenses y de todo el mundo, renueva la necesidad de una respuesta de la comunidad internacional ante el alza de estos hechos. Durante el año que pasó, expertos en ciberseguridad de todo el mundo enfrentaron una oleada de ataques contra infraestructuras fundamentales (que alcanzó a instituciones que participan en la lucha contra la pandemia de COVID‑19). Más allá de la expresa condena gubernamental a algunas de estas conductas, es evidente la necesidad de más acción colectiva.

No hay un tratado internacional para el ciberespacio, y las once normas no vinculantes de comportamiento estatal responsable adoptadas por la Asamblea General de las Naciones Unidas son hasta cierto punto ambiguas. Todo el tiempo se proponen normas adicionales (lo cual es bueno). Pero una norma no es lo mismo que un tratado, y no se puede aplicar del mismo modo. Lo mejor es prestar atención al espíritu (no sólo la letra) de lo que las normas intentan expresar. De hecho, el último ataque descubierto es una clara demostración de por qué un tratado internacional sobre ciberseguridad no funcionaría.

SolarWinds, una importante empresa estadounidense de gestión de redes, produce una plataforma de monitoreo, que otorga a personal de apoyo técnico acceso remoto a dispositivos que la tengan instalada. El reciente ataque contra cadenas de suministro secuestró la función de actualización del software para instalar un malware llamado Sunburst. Según informa la publicación tecnológica The Register, sólo en Estados Unidos la plataforma de SolarWinds está instalada en más de 425 corporaciones listadas en el Fortune 500, todas las grandes empresas de telecomunicaciones y la mayoría de los organismos públicos (y su presencia es similar en muchas otras economías desarrolladas). En tanto, la empresa de ciberseguridad FireEye (que a principios de la semana pasada emitió una advertencia que permitió revelar los ataques) señala que aunque el objetivo probable de los atacantes fue el gobierno de Estados Unidos, puede haber instituciones de todo el mundo vulneradas.

El gobierno estadounidense sospecha de los servicios de inteligencia rusos, y el experto en ciberseguridad Jeff Moss sostuvo que la revelación de los ataques puede incluso alentar a los atacantes a cometer otros hechos similares.

Lo que sabemos a ciencia cierta es que el ataque a través de la plataforma de SolarWinds se gestó a lo largo de muchos meses, en coincidencia con las últimas negociaciones intergubernamentales para fortalecer y aclarar las normas para el ciberespacio. De las ocho normas propuestas por la Comisión Mundial sobre la Estabilidad del Ciberespacio, hubo una violación clara de al menos una: la que obliga a actores estatales y no estatales a abstenerse de adulterar productos y servicios en desarrollo y producción. Y puede que se hayan violado también otras, por ejemplo la que protege el «núcleo público» (la infraestructura troncal o backbone) de Internet. (Esto también es uno de los principios del Llamado de París a la Confianza y la Seguridad en el Ciberespacio, firmado por más de mil entidades gubernamentales, empresariales y de la sociedad civil.)

Pero lo más importante es que al menos tres de las once normas ya adoptadas por la Asamblea General de las Naciones Unidas pueden ser aplicables al caso de SolarWinds, incluidas las protecciones estipuladas para la cadena de suministros del área de la tecnología de la información y las comunicaciones, para las infraestructuras fundamentales y para las entidades mismas encargadas de la defensa del ciberespacio.

Algunos críticos dirán que la redacción de las normas es tan imprecisa que permite esta clase de actividades, pero disentimos. Es común que los ciberataques parezcan diseñados de modo tal de caer en un área gris entre las normas acordadas, pero eso no es razón para excusarlos. En 2015, en los meses que siguieron al acuerdo mediado por la ONU sobre la norma de protección de infraestructuras fundamentales, hubo al menos tres ataques que parecieron intentos de poner a prueba los límites del acuerdo.

Por ejemplo, uno de los ataques dejó casi destruida una acerera alemana, pero puede decirse que no tocó la infraestructura fundamental registrada de la que formaba parte. Otro ataque inutilizó una red de distribución eléctrica en Ucrania, pero en forma temporal, y (posiblemente) en un contexto bélico al que se aplican reglas diferentes. Finalmente, una de las mayores estaciones de TV privada de Francia sufrió un ataque que la sacó del aire, pero la red no estaba designada oficialmente como infraestructura nacional fundamental.

La deficiente respuesta internacional a estas violaciones tal vez contribuyó a alentar un ataque mucho más polémico y visible: contra la elección presidencial estadounidense de 2016. Este hecho también cayó en un área gris, porque en aquel momento las elecciones y los procesos electorales no estaban designados oficialmente como «infraestructuras fundamentales».

Nadie puede pretender que en estos casos, al no haber una violación clara de normas, no se cometió falta alguna. Las normas no son reglas legalmente vinculantes (con una redacción exacta determinante) sino instrumentos flexibles, que pueden interpretarse de muchas formas, y eso constituye una fortaleza, no una debilidad. Existen precisamente porque interpretar el modo de aplicar el derecho internacional al ciberespacio suele ser difícil, y porque las democracias en general prefieren no someterse a un tratado internacional cuya redacción será inadecuada (y su vigilancia insuficiente).

El caso SolarWinds muestra la razón: en el ciberespacio, siempre es posible diseñar técnicas nuevas que escapen a cualquier texto concreto. Pero también muestra que proponer nuevas normas (incluso si sólo serán subsidiarias de las normas ya existentes) puede ayudar a aclarar con precisión los valores que la comunidad internacional intenta reforzar. Un esquema basado en normas que no esté inmovilizado por definiciones incompletas puede facilitar una respuesta más sólida que contrarreste y desaliente actividades maliciosas en el ciberespacio. Pero la aplicación de esas normas y el castigo de infracciones dependerán de la voluntad política.

El mejor modo de disuadir a actores estatales malintencionados es mediante una acción colectiva que pueda imponer consecuencias y establecer así un derecho internacional consuetudinario. En última instancia, las normas existen para promover y sostener esta clase de respuesta allí donde corresponda, no para inhibirla. Para que el reciente aumento de conflictividad en el ciberespacio no se salga de control, se necesita con urgencia esa clase de acción internacional.

Traducción: Esteban Flamini

Michael Chertoff, a former US secretary of homeland security, is a co-chair of the Global Commission on the Stability of Cyberspace. Latha Reddy, a former deputy national security adviser of India, is a co-chair of the Global Commission on the Stability of Cyberspace. Alexander Klimburg is Director of the Global Commission on the Stability of Cyberspace.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *