La disuasión en el ciberespacio

Hace unos meses, funcionarios estadounidenses reconocieron que ciberoperaciones ofensivas de los Estados Unidos habían detenido intentos rusos de interferir en la elección legislativa de 2018. Esta clase de operaciones suele mantenerse en reserva, pero esta vez se habló de una nueva doctrina ofensiva de “combate permanente” (persistent engagement) con adversarios potenciales. ¿Funcionará?

Los partidarios del “combate permanente” lo defendieron con el argumento de que la disuasión no funciona en el ciberespacio. Pero eso es plantear una falsa antinomia: bien usada, una nueva doctrina ofensiva puede reforzar la disuasión más que reemplazarla.

Por “disuasión” (deterrence) se entiende evitar una acción del oponente convenciéndolo de que su costo superará el beneficio esperado. La disuasión aplicada al ciberespacio suele ser difícil de entender, porque seguimos atrapados en una imagen de disuasión que se formó en la Guerra Fría: la amenaza de represalias masivas a un ataque nuclear, por medios nucleares. Pero la analogía con la disuasión nuclear es inexacta, porque cuando hay armas nucleares de por medio, el objetivo es la prevención total. En el ciberespacio, en cambio, la disuasión se parece más a la prevención del delito, que los gobiernos sólo consiguen hacer en forma imperfecta.

Hay cuatro grandes mecanismos que permiten reducir y prevenir conductas indeseables en el ciberespacio: disuasión por amenaza de castigo, por medidas defensivas de negación (denial), por interdependencia (entanglement) y por tabú normativo. Ninguno de los cuatro es perfecto, pero juntos son muestra de la variedad de medios por los que es posible minimizar la probabilidad de actos nocivos. Estas estrategias pueden complementarse entre sí para afectar la percepción que tienen los actores de los costos y beneficios de determinadas acciones, con independencia del problema de la atribución. De hecho, mientras la capacidad de atribuir un acto a su responsable es esencial para el castigo, no es importante para la disuasión por negación o por interdependencia.

Como la disuasión se basa en percepciones, su efectividad depende no sólo de la respuesta a la pregunta de “cómo” sino a las de “quién” y “qué”. La disuasión por amenaza de castigo (o por medidas defensivas, interdependencia o normas) puede ser efectiva con algunos actores y no con otros. Irónicamente, puede ser más fácil disuadir a grandes estados de actos como la destrucción de una red eléctrica que evitar que cometan acciones que no llegan a ese nivel.

De hecho, la amenaza de un “Pearl Harbor cibernético” ha sido exagerada. Los grandes actores estatales tienden a participar más en relaciones de interdependencia que muchos de los actores no estatales. Y las autoridades estadounidenses han dejado claro que la disuasión no se limita al ámbito cibernético (aunque eso sea posible). Estados Unidos responderá a ciberataques en una variedad de ámbitos o sectores, con cualquier arma de su elección, en proporción al daño que se haya hecho. Esto abarca el espectro que va de la denuncia pública, pasando por las sanciones económicas, al bombardeo cinético.

Estados Unidos y otros países han declarado que las leyes del conflicto armado se aplican al ciberespacio. Que una operación cibernética se trate como un ataque armado depende de sus consecuencias, no de los instrumentos usados. Por eso es más difícil disuadir agresiones que no llegan a ser equivalentes a un ataque armado. La guerra híbrida de Rusia en Ucrania y su interferencia en la campaña presidencial estadounidense (demostrada por el informe del fiscal especial de los Estados Unidos Robert Mueller) se encuentran en esa zona gris.

La dificultad de individualizar a los autores de un ciberataque y la diversidad de adversarios en el ciberespacio no hacen imposible la disuasión, pero implican que el uso del castigo tendrá necesariamente un papel más limitado que en el caso de las armas nucleares. El castigo es igualmente aplicable a estados o a delincuentes, pero cuando no se puede identificar fácilmente al agresor el efecto disuasivo es más lento e ineficaz.

La disuasión por negación (por medio de medidas de higiene, defensa y resiliencia) es más importante en el caso de actores no estatales que contra grandes estados cuyos servicios de inteligencia pueden formular una amenaza permanente avanzada. Con tiempo y esfuerzo, un gran organismo militar o de inteligencia conseguirá penetrar la mayoría de las defensas, pero la combinación de amenaza de castigo y medidas eficaces de defensa puede influir en el cálculo de costos y beneficios. Allí es donde entra la nueva doctrina de “combate permanente”. Su objetivo no sólo es frustrar ataques, sino también reforzar la disuasión al aumentar los costos para el adversario.

Pero al evaluar la posibilidad de disuasión en el ciberespacio, los analistas de políticas no pueden limitarse a los instrumentos clásicos de la disuasión nuclear (el castigo y la negación). También deben prestar atención a los mecanismos de interdependencia y a las normas. Lo primero puede alterar el cálculo de costo‑beneficio de un gran estado como China, pero es posible que su efecto en un país como Corea del Norte, muy poco vinculado con la economía mundial, sea escaso.

Sin embargo, el “combate permanente” puede ayudar a la disuasión en esos casos difíciles. Por supuesto, penetrar la red de un adversario y frustrar un ataque plantea un riesgo de escalada. Por eso, en vez de dar por sentado que en esto se da un proceso de negociación tácita, como suelen señalar los partidarios del “combate permanente”, puede ser útil contar con canales de comunicación más explícitos.

La estabilidad en el ciberespacio es imprevisible, porque la innovación tecnológica en este campo es más veloz que en el ámbito nuclear. Con el tiempo, puede ocurrir que una mejora de los procedimientos forenses usados para la atribución aumente la importancia del castigo; y mejores defensas por medio del encriptado o el aprendizaje automático pueden incrementar el papel de los mecanismos de negación y defensa.

También es importante el ciberaprendizaje. En la medida en que estados y organizaciones comprendan mejor las limitaciones e incertidumbres de un ciberataque y la creciente importancia de Internet para su bienestar económico, los cálculos de costo‑beneficio de la utilidad de la ciberguerra pueden cambiar. No todos los ciberataques son iguales en importancia, ni pasibles de disuasión, ni llegan a ser una amenaza significativa a la seguridad nacional.

La moraleja para las autoridades es concentrarse en los ataques más importantes, ser conscientes de toda la variedad de mecanismos a su disposición y comprender los contextos en que es posible prevenir un ataque. La clave para la disuasión en la era cibernética es reconocer que un solo instrumento no servirá en todos los casos. Visto en esta perspectiva, el “combate permanente” es un añadido útil al arsenal.

Joseph S. Nye is a professor at Harvard University and author of Is the American Century Over? and the forthcoming Do Morals Matter? Presidents and Foreign Policy from FDR to Trump. Traducción: Esteban Flamini.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *