¿Se puede ejercer la disuasión en la guerra cibernética?

En los años 90 del siglo pasado surgieron los primeros temores a un “Pearl Harbor cibernético”, y desde entonces a las autoridades les ha preocupado el que los hackers puedan hacer explotar oleoductos, contaminar las fuentes de agua, abrir compuertas y enviar aviones en rumbos de colisión tras apoderarse de los sistemas de tráfico aéreo. En 2012, Leon Panetta, entonces Secretario de Defensa de EE.UU. advirtió que los hackers “podrían cortar la red energética de amplias áreas del país”.

Ninguno de estas hipótesis de caos ha ocurrido, pero ciertamente no se pueden descartar. A un nivel más modesto, los hackers pudieron destruir un alto horno en una fundición de acero alemana el año pasado. Así que la pregunta sobre la seguridad es clara: ¿es posible impedir mediante la disuasión que se realicen acciones así de destructivas?

A veces se dice que la disuasión no es una estrategia eficaz en el ciberespacio, debido a lo difícil que resulta atribuir el origen de un ataque y la gran cantidad de actores estatales y no estatales que pueden estar implicados. A menudo no estamos seguros de quién son los bienes que podemos retener y por cuánto tiempo.

Sin duda, el de la atribución es un gran problema. ¿Cómo tomar represalias cuando no hay remitente? La atribución de ataques nucleares no es perfecta, pero existen solamente nueve estados con armas nucleares; los identificadores isotópicos de sus materiales nucleares se conocen relativamente bien, y los actores no estatales deben hacer frente a barreras de entrada muy exigentes.

Nada de esto es cierto en el ciberespacio, donde un arma puede consistir en unas cuantas líneas de código que cualquier actor estatal o no estatal puede inventar (o adquirir en la llamada web oscura). Un atacante sofisticado puede ocultar el punto de origen tras identificadores falsos de varios servidores remotos.

Si bien las investigaciones forenses pueden manejar varios “saltos” entre servidores, suele tomar tiempo. Por ejemplo, se atribuyó a Rusia un ataque de 2014 en que se robaron del banco JPMorgan Chase 76 millones de direcciones de clientes; sin embargo, para 2015 el Departamento de Justicia estadounidense identificó a los culpables como una sofisticada banda criminal liderada por dos israelíes y un ciudadano estadounidense que vive en Moscú y Tel Aviv.

Sin embargo, la atribución es cuestión de grados. A pesar de los peligros de los falsos identificadores y la dificultad para obtener atribuciones rápidas y de alta calidad que puedan sostenerse como pruebas en los tribunales, a menudo la hay en un nivel suficiente como para lograr el efecto disuasorio.

Por ejemplo, en el ataque de 2014 a SONY Pictures, al principio Estados Unidos intentó evitar que se divulgaran los medios por los que atribuyó el ataque a Corea del Norte, y como resultado fue recibido con un escepticismo generalizado. En pocas semanas, una filtración de prensa reveló que EE.UU. tuvo acceso a las redes norcoreanas. El escepticismo disminuyó, pero al coste de revelar una fuente de inteligencia de carácter delicado.

Las atribuciones rápidas y de alta calidad suelen ser difíciles y caras, pero no imposibles. Los gobiernos no sólo están mejorando sus capacidades, sino que varias empresas del sector privado han ido entrando al juego, y su participación reduce los costes políticos de divulgar las fuentes. Muchas situaciones son cuestión de grados, y a medida que la tecnología mejora la dimensión forense de la atribución, puede aumentar la fuerza disuasoria.

Más aún, los analistas no se deberían limitar a los clásicos instrumentos del castigo y la denegación para evaluar a la disuasión cibernética, sino también prestar atención a aquella producida por la implicación económica y las normas.

La implicación económica puede alterar el cálculo de coste-beneficio de un estado importante como China, para el que los efectos de rebote de un ataque sobre, por ejemplo, la red energética de Estados Unidos podrían afectar a su propia economía. Es probable que tenga pocos efectos sobre un estado como Corea del Norte, que tiene débiles vínculos con la economía global. No está claro cómo afecta a los actores no estatales. Algunos pueden ser como parásitos que sufren las consecuencias si se mata a su huésped, pero otros pueden ser indiferentes a tales efectos.

En cuanto a las normas, los principales estados han acordado que la ciberguerra estará limitada por las leyes de los conflictos armados, que exige discriminar entre objetivos militares y civiles, además de proporcionalidad en cuanto a las consecuencias. En julio de este año el Grupo de Expertos de Gobierno de las Naciones Unidas recomendó excluir de los ciberataques a los objetivos civiles, y en la cumbre del G-20 del mes pasado se respaldó esa norma.

Se ha sugerido que una razón por la que hasta ahora no se han usado con mayor frecuencia las armas cibernéticas es precisamente la incertidumbre acerca de los efectos sobre objetivos civiles y sus impredecibles consecuencias. Tales normas pueden haber disuadido a Estados Unidos de usarlas en acciones contra las defensas aéreas iraquíes y libias. Y el uso de ciberinstrumentos en las guerras “híbridas” de Rusia en Georgia y Ucrania ha sido relativamente limitado.

La relación entre las variables de la disuasión cibernética es dinámica, y sobre ella influirán la tecnología y el aprendizaje; la innovación ocurrirá a un ritmo mayor que en el caso de las armas nucleares. Por ejemplo, los avances en las investigaciones forenses de atribución pueden mejorar el papel del castigo, y los avances en defensa a través del cifrado pueden mejorar la disuasión por denegación. Como resultado, es posible que con el tiempo vaya cambiando la actual ventaja de las estrategias ofensivas sobre las defensivas.

También es importante el aprendizaje cibernético. A medida que los estados y organizaciones van comprendiendo mejor la importancia de Internet para su bienestar económico, los cálculos de coste-beneficio de la utilidad de los medios de la guerra cibernética pueden ir cambiando, tal como con el tiempo fue cambiando el modo en que se entendieron los costes de las armas nucleares.

A diferencia de la época nuclear, no hay una vara de medida única cuando se trata de la disuasión en la era cibernética. ¿O somos prisioneros de una imagen demasiado simplificada del pasado? Después de todo, cuando el castigo nuclear parecía demasiado severo para ser creíble, Estados Unidos adoptó una respuesta flexible convencional para añadir un elemento de denegación en sus esfuerzos por disuadir a la Unión Soviética de invadir Europa Occidental. Y si bien EE.UU. nunca acordó formalmente una norma de “no ser el primero en atacar con armas nucleares”, finalmente acabó por desarrollarse un tabú así, al menos entre los principales estados. Puede que en la era cibernética la disuasión no sea lo que era, pero tal vez tampoco nunca lo fue.

Joseph S. Nye, Jr., a former US assistant secretary of defense and chairman of the US National Intelligence Council, is University Professor at Harvard University. He is the author of Is the American Century Over?. Traducido del inglés por David Meléndez Tormen.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *