Ocho normas para la estabilidad en el ciberespacio

Ocho normas para la estabilidad en el ciberespacio

En poco más de una generación, Internet se ha convertido en un sustrato vital para las interacciones económicas, sociales y políticas, y ha hecho posibles enormes avances. Pero una mayor interdependencia trae consigo vulnerabilidades y conflictos. La cantidad de ataques de actores estatales y no estatales ha aumentado, lo que pone en riesgo la estabilidad del ciberespacio.

En noviembre, en el Foro de París para la Paz, la Comisión Mundial sobre la Estabilidad del Ciberespacio (GCSC por la sigla en inglés) publicó un informe sobre cómo crear un marco general para la ciberestabilidad. Esta comisión multisectorial (de la que fui miembro) fue convocada originalmente por el gobierno neerlandés hace tres años, tuvo copresidentes de Estonia, la India y Estados Unidos, y estaba integrada por ex funcionarios públicos, expertos de la sociedad civil y académicos de dieciséis países.

Con el correr de los años, se han multiplicado los pedidos de que se dicten leyes y normas para controlar la nueva inseguridad internacional creada por la tecnología de la información, desde las primeras propuestas que formuló Rusia hace dos décadas en las Naciones Unidas para que se establezca un tratado vinculante. Por desgracia, dada la naturaleza de las armas cibernéticas y la volatilidad de la tecnología, ese tratado no sería verificable y no tardaría en volverse obsoleto.

En vez de eso, la ONU creó un grupo de expertos gubernamentales que presentó un conjunto no vinculante de normas en 2013 y 2015. El grupo no pudo emitir un informe en 2017, pero su trabajo continúa con más miembros que antes, y se le ha unido en la ONU un grupo de trabajo abierto que el pasado septiembre contaba con la participación de unos ochenta estados. Además, el secretario general de la ONU António Guterres creó un grupo de alto nivel que publicó un informe a la espera de un debate más amplio en la ONU en 2020.

La GCSC define la ciberestabilidad como una situación en la que personas e instituciones pueden usar los servicios cibernéticos con una expectativa de seguridad razonable, donde hay un manejo relativamente pacífico de los cambios y donde las tensiones se resuelven sin escaladas. Esa estabilidad se basa en el derecho internacional preexistente, que como afirmó el grupo gubernamental de expertos en sus informes de 2013 y 2015, es aplicable al ciberespacio.

Pero proceder ya mismo a la firma de un tratado legal internacional vinculante sería prematuro. En vez de eso, una serie de normas de conducta esperada puede ofrecer un término intermedio flexible entre la rigidez de los tratados y la total inacción. Como explicó Michael Chertoff, uno de los copresidentes de la GCSC y ex secretario de seguridad nacional de los Estados Unidos, esas normas pueden existir a la par de las leyes, pero serán más dinámicas para responder al veloz ritmo de cambio de la tecnología.

La GCSC propuso ocho normas para resolver las falencias en los principios declarados anteriormente, con énfasis en cuestiones técnicas que son fundamentales para la ciberestabilidad. Esas normas pueden verse como puntos compartidos de referencia que acompañen la evolución de las discusiones políticas.

La primera norma es la no interferencia con el núcleo público de Internet. Aunque entre estados autoritarios y democráticos pueda haber desacuerdo en relación con la libertad de expresión o la regulación del contenido virtual, pueden ponerse de acuerdo en no interferir con elementos centrales como el sistema de nombres de dominio, sin los cuales no puede haber una interconexión predecible entre las redes que forman Internet.

En segundo lugar, los actores estatales y no estatales deben abstenerse de apoyar operaciones cibernéticas cuyo objetivo sea interferir con la infraestructura técnica esencial para elecciones, referendos o plebiscitos. Si bien esta norma no impedirá todas las formas de interferencia (como la que sucedió en las elecciones estadounidenses en 2016), marca algunos límites claros en torno de elementos técnicos.

En tercer lugar, los actores estatales y no estatales se abstendrán de adulterar bienes y servicios en desarrollo o producción cuando ello pueda menoscabar sustancialmente la estabilidad del ciberespacio. La inseguridad de las cadenas de suministro plantea una amenaza importante a la estabilidad.

En cuarto lugar, los actores estatales y no estatales no usarán recursos informáticos de la población general para la creación de “botnets” (redes de agentes de software que se instalan en equipos ajenos y se manejan en forma remota sin el conocimiento ni el consentimiento de los afectados).

En quinto lugar, los estados deben crear marcos procedimentalmente transparentes para evaluar la conveniencia de revelar a la población vulnerabilidades o fallas de las tecnologías o sistemas de información y el momento adecuado para hacerlo. Las armas cibernéticas suelen basarse en esas fallas. Mantener esas vulnerabilidades ocultas para un posible uso futuro es un riesgo para todos. Debe haber una presunción favorable a la divulgación y reparación de las fallas.

En sexto lugar, los desarrolladores y productores de bienes y servicios de los que dependa la estabilidad del ciberespacio deben hacer hincapié en la seguridad, tomar medidas razonables para garantizar que sus productos estén libres de vulnerabilidades significativas, mitigar las fallas cuando se descubran y ser transparentes en relación con el proceso. Todos los actores tienen el deber de compartir información sobre vulnerabilidades para ayudar a mitigar ciberactividades maliciosas.

En séptimo lugar, los estados deben implementar medidas apropiadas (incluidas leyes y regulaciones) para garantizar una ciberhigiene básica. Así como las vacunas previenen enfermedades transmisibles como el sarampión, del mismo modo una ciberhigiene básica puede ayudar a eliminar vulnerabilidades fáciles de explotar a disposición de posibles cibermalhechores.

Finalmente, los actores no estatales no deben emprender ciberoperaciones ofensivas, y los actores estatales deben prevenir esas actividades o darles respuesta si se producen. La autodefensa privada contra ciberataques (a veces llamada “hack-back”) puede escalar y plantear una importante amenaza a la ciberestabilidad. En el pasado, algunos estados hicieron la vista gorda e incluso apoyaron a corsarios, pero después se dieron cuenta de que los riesgos de escalada y de conflicto no deseado eran demasiado altos. Lo mismo puede decirse de la estabilidad en el ciberespacio.

Estas ocho normas no bastarán para asegurar dicha estabilidad, pero combinadas con sugerencias de otras partes respecto de normas, principios y medidas de generación de confianza pueden servir de punto de partida. En el largo plazo, los estados observan normas de conducta para mejorar la coordinación, limitar la incertidumbre, preservar la reputación o en respuesta a presiones internas. Al mundo todavía le falta mucho para tener un régimen normativo de esa naturaleza para el ciberespacio, pero la GCSC hizo un aporte al avance del proceso.

Joseph S. Nye, Jr., a professor at Harvard University, is the author of Is the American Century Over? and the forthcoming Do Morals Matter? Presidents and Foreign Policy from FDR to Trump. Traducción: Esteban Flamini.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *