Una normativa internacional para el ciberespacio

El mes pasado, se celebró en Holanda la Conferencia Global 2015 sobre el Ciberespacio, con la presencia de casi dos mil funcionarios de gobiernos, académicos, representantes de la industria y otros participantes. Fui moderador de un panel sobre paz y seguridad en el ciberespacio, del que participaron un vicepresidente de Microsoft y las ministras de relaciones exteriores de dos países. Esta conferencia multisectorial es un paso más en una serie de esfuerzos tendientes a establecer una normativa que evite conflictos en el ciberespacio.

Ya está suficientemente probado que es posible causar daños a través de Internet. Muchos observadores creen que los gobiernos estadounidense e israelí estuvieron detrás del ataque que hace un tiempo destruyó varias centrifugadoras en una planta nuclear iraní. Hay quien dice que un ataque del gobierno iraní destruyó miles de computadoras de la empresa saudita Aramco. A Rusia se la acusa de haber orquestado ataques de denegación de servicio contra Estonia y Georgia. Y en diciembre pasado, el presidente de los Estados Unidos, Barack Obama, atribuyó un ataque contra Sony Pictures al gobierno norcoreano.

Hasta hace poco, la ciberseguridad era un ámbito reservado a una pequeña comunidad de expertos en informática. Cuando se creó Internet, en los años setenta, sus miembros formaban una aldea virtual, en la que todos se conocían; por eso diseñaron un sistema abierto, con poca atención a la seguridad.

Después, a inicios de los noventa, apareció la World Wide Web, que pasó de tener unos pocos millones de usuarios a más de tres mil millones en la actualidad. En poco más de una generación, Internet se convirtió en el sustrato de la economía y de la gobernanza a escala internacional. En la próxima década se sumarán varios miles de millones de usuarios humanos, además de un sinnúmero de dispositivos, desde termostatos hasta sistemas de control industrial (la “Internet de las Cosas”).

Esta interdependencia creciente implica vulnerabilidades, que actores estatales y no estatales pueden explotar. Y apenas comenzamos a hacernos una idea de lo que esto implica para la seguridad nacional. Los estudios estratégicos del ciberespacio se parecen a los de estrategia nuclear en los cincuenta: los analistas todavía no tienen claro el significado de conceptos como ataque, defensa, disuasión, escalada, normas y control de armamentos.

Hoy el término “ciberguerra” se aplica en forma muy imprecisa a una amplia variedad de conductas, que incluyen desde actos de infiltración exploratoria, modificación no autorizada de sitios web y denegación de servicio hasta ataques de espionaje y destrucción. Esto se corresponde con las diversas acepciones de la palabra “guerra”, entre las que el diccionario inglés Merriam‑Webster incluye todo esfuerzo organizado para “detener o impedir algo que se considera peligroso o malo” (por ejemplo, cuando se habla de “guerra a las drogas”).

Una definición más útil de ciberguerra es cualquier acción hostil en el ciberespacio que amplifique o sea equivalente en sus efectos a un hecho de violencia real grave. Determinar cuándo se cumple este criterio es una decisión que corresponde tomar a la dirigencia política de los países.

Hay cuatro grandes tipos de ciberamenazas a la seguridad nacional, cada uno de ellos con diferentes horizontes temporales y (en principio) diferentes soluciones: por un lado, la ciberguerra y el espionaje económico, que en gran medida se asocian con estados; por el otro, el ciberdelito y el ciberterrorismo, que en la mayoría de los casos se asocian con actores no estatales. En la actualidad, el espionaje y el delito digital son las amenazas más costosas, pero es posible que en la próxima década los otros dos tipos se vuelvan más dañinos que ahora. Además, conforme cambien las alianzas y las tácticas, estas categorías podrían superponerse cada vez más.

Durante la Guerra Fría, la competencia ideológica limitó la cooperación entre Estados Unidos y la Unión Soviética; pero ambas partes, conscientes del poder destructivo de las armas nucleares, desarrollaron un código de conducta mínimo con el objetivo de no llegar a un enfrentamiento armado. Estas normas prudenciales básicas incluían evitar el combate directo, no usar armas nucleares antes que la otra parte y mantener abiertos canales de comunicación para casos de crisis, tales como la línea directa entre Moscú y Washington y los acuerdos para prevención del inicio accidental de una guerra nuclear y de incidentes marítimos.

El primer acuerdo formal de control de armamentos fue el tratado de prohibición limitada de pruebas nucleares firmado en 1963, al que se puede considerar ante todo un tratado de protección medioambiental. El segundo gran acuerdo fue el tratado de no proliferación de 1968, que procuraba limitar la difusión de las armas nucleares. Para Estados Unidos y la Unión Soviética, los dos acuerdos eran juegos de suma positiva, porque tenían que ver con la naturaleza o con terceros.

Del mismo modo, las áreas más auspiciosas para la incipiente cooperación internacional en protección del ciberespacio tienen que ver con amenazas planteadas por terceros, como delincuentes y terroristas. Rusia y China son partidarias de un tratado que coloque Internet bajo supervisión amplia de las Naciones Unidas. La idea que ambos países tienen de “seguridad informática” es inaceptable para los gobiernos democráticos, ya que legitimaría actos de censura por parte de gobiernos autoritarios; pero tal vez sea posible identificar y atacar conductas de cuya ilegalidad nadie dude. Aunque sería imposible limitar todos los tipos de ciberataques, un buen punto de partida serían el ciberdelito y el ciberterrorismo. Las grandes potencias tienen motivos para limitar daños mediante acuerdos para la implementación de medidas forenses y de control.

Claro que las analogías históricas no son perfectas. Es evidente que la tecnología cibernética es muy diferente de la tecnología nuclear, sobre todo porque es mucho más vulnerable a las acciones de actores no estatales.

Sin embargo, el funcionamiento básico de Internet ya está bajo control de algunas instituciones, formales e informales. Estados Unidos planea acertadamente reforzar el papel de la Corporación de Internet para la Asignación de Nombres y Números(ICANN) dándole la supervisión de la “libreta de direcciones” de Internet. También está la Convención sobre el Ciberdelito aprobada en 2001 por el Consejo de Europa, que prevé la cooperación entre policías nacionales a través de Interpol y Europol. Y un grupo de expertos gubernamentales de las Naciones Unidas está analizando la relación entre derecho internacional y ciberseguridad.

Es probable que lograr acuerdos en temas más conflictivos (como los ciberataques con fines de espionaje y de “preparación del campo de batalla”) lleve más tiempo. Sin embargo, que por ahora no se pueda pensar en un acuerdo general de control de armas cibernéticas no debe impedir que haya avances en algunos temas. El desarrollo de normas internacionales suele demandar tiempo (en el caso de la tecnología nuclear, fueron dos décadas). El mensaje más importante de la reciente conferencia en Holanda es que tal vez ya va siendo hora de encarar las vulnerabilidades cibernéticas globales.

Joseph S. Nye, Jr. a former US assistant secretary of defense and chairman of the US National Intelligence Council, is University Professor at Harvard University and a member of the World Economic Forum Global Agenda Council on the Future of Government. He is the author, most recently, of Is the American Century Over?. Traducción: Esteban Flamini

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *