Proteger a Estados Unidos de los ataques cibernéticos
Dado que las naciones extranjeras se han vuelto más agresivas y las herramientas a su disposición son cada vez más sofisticadas, ¿la mejor estrategia cibernética de Estados Unidos es pasar a la ofensiva? ¿O debería apuntalar sus defensas? Aquí las reflexiones de dos expertos en el tema.
LA MEJOR DEFENSA ES UNA BUENA OFENSIVA (CIBERNÉTICA)
ESTAMOS EN GUERRA en el ciberespacio. Aun cuando los abogados podrían objetar las definiciones de los ataques armados, el hecho es que, por alrededor de una década, hemos estado en una serie de conflictos constantes —aunque de pequeña escala— en el ciberespacio. Se han intensificado recientemente, sobre todo desde el comienzo de la pandemia del COVID-19, y han tenido un impacto enorme en los sectores público y privado de Estados Unidos. De manera independiente, la guerra económica, posibilitada por la cibernética, llevada a cabo por China drena al sector privado estadounidense de miles de millones de dólares al año, y los daños totales se calculan en billones. El general Keith B. Alexander, exdirector de la Agencia de Seguridad Nacional, describió esta acción concertada como “la más grande transferencia de riqueza en la historia humana”.
Aún peor, solo en los últimos seis años hemos visto a nuestros adversarios llevar a cabo ataques equivalentes a actos de guerra. Por ejemplo, hemos visto a Corea del Norte e Irán participar en la destrucción afirmativa de datos y el bloqueo de sistemas de cómputo aquí en Estados Unidos. Y el grado de esa amenaza sigue creciendo. Solo el año pasado, Dan Coats, entonces director de Inteligencia Nacional, le dijo al Congreso que Irán está “preparándose [activamente] para ataques cibernéticos contra Estados Unidos y nuestros aliados”, y señaló que “China tiene la capacidad de lanzar ataques cibernéticos [en Estados Unidos] que [podrían] provocar... la interrupción de un ducto de gas natural por días o semanas”. La campaña encubierta rusa de influencia debilitó la confianza del público en nuestras elecciones y las instituciones del Estado de derecho, pero Rusia también “mapea [activamente] nuestra infraestructura crucial con la meta a largo plazo de ser capaz de provocar un daño sustancial”, incluido el “interrumpir una red de distribución eléctrica por lo menos por unas cuantas horas”.
No obstante los costos significativos que estas actividades le imponen al pueblo estadounidense y la economía, los rusos y otros han pagado muy poco por sus acciones. Aun cuando se le han impuesto sanciones limitadas a Rusia (principalmente porque el Congreso las impulsó), hemos acusado a actores clave tanto en Rusia como en China e impuesto algunas medidas comerciales limitadas contra China, el ritmo continuo de la actividad de nuestros adversarios en el ciberespacio deja en claro que estén en gran medida decididos. Esto es especialmente claro dada la actividad frenética que hemos visto en meses recientes mientras los actores amenazantes han buscado ganancias financieras y estratégicas, incluido el ataque a instituciones que llevan a cabo la investigación de vanguardia en vacunas.
Y, aun así, incluso a la luz de todo esto, hay quienes querrán desarmarnos unilateralmente —o por lo menos constreñirnos considerablemente— cuando se trata de responder a actividades cibernéticas.
Con el fin de detener la arremetida actual en el ciberespacio, debemos disuadir efectivamente a nuestros oponentes al hacer que los costos de tomar acciones en nuestra contra sobrepasen a los beneficios. Por demasiado tiempo hemos fallado en hacer esto en la naciente guerra cibernética y, como resultado, nuestros enemigos se han vuelto más osados. Siendo así, el hecho de que las acciones ofensivas estadounidenses en el ciberespacio pudieran ser dolorosas para nuestros adversarios no es un error, es una característica. Debemos ser cuidadosos de evitar imponer innecesariamente costos a los civiles, o provocar un daño gratuito
“El hecho de que las acciones ofensivas estadounidenses en el ciberespacio pudieran ser dolorosas para nuestros adversarios no es un error, es una característica”.
a la gente y las propiedades. Pero en la mayor parte de la década, nuestros oponentes han debilitado fundamentalmente nuestra economía, llevado a cabo ataques deliberados y destructivos, y están implementando activamente capacidades para realizar un daño muy real a nuestra gente. Dado todo esto, ahora es exactamente el tiempo incorrecto para desarmarnos unilateralmente.
No obstante algunos importantes cambios recientes en nuestra postura de respuesta cibernética, todavía enfrentamos una arremetida significativa. Hay muchas razones de esta, incluido el que cuando sí actuamos, nuestras respuestas parecen haber sido muy limitadas en su naturaleza y tal vez no imponen costos lo bastante significativos. Debemos ser claros con respecto a nuestras capacidades, hacer pública una política declaratoria clara de los límites cibernéticos y estar dispuestos seriamente a tomar una acción rápida, decisiva y visible cuando se crucen estos límites. No es que la disuasión no funcione o no pueda funcionar en el ciberespacio; es que nosotros simplemente no practicamos en realidad la disuasión hoy día.
Y para quienes dicen que la disuasión siempre es intensificadora, solo se necesita mirar la historia reciente para demostrarles que están equivocados. En la parte inicial de la guerra civil siria, no obstante su tristemente célebre límite sobre el uso de armas químicas en Siria, el presidente Obama dio rodeos de manera pública después de que el régimen de Assad usó sarín (un arma química) contra su propio pueblo. Él finalmente retrocedió, debilitándonos significativamente a los ojos de amigos y enemigos por igual.
En contraste, cuando la administración actual respondió a los ataques subsidiarios iraníes, que mataron a estadounidenses en Irak, con un golpe devastador que mató al líder de su élite militar, Qassem Soleimani, los periódicos estadounidenses estaban llenos de editoriales que opinaban que estábamos en el precipicio de una guerra a escala total con Irán. Todo ese retorcerse las manos fue por nada. En vez de llevarnos a la guerra, la respuesta audaz y fuerte de la administración actual llamó la atención de los iraníes, obligándolos a replantearse sus décadas de ataques contra las fuerzas estadounidenses.
Entonces, ¿qué nos dice todo esto? Primero, debe quedar en claro que, con las amenazas cibernéticas en un máximo histórico, ahora no es el momento de retroceder. Al contrario, debemos proveer más recursos y autoridad a quienes combaten al enemigo en el ciberespacio. Segundo, debemos ayudar a redoblar nuestras defensas en casa para que podamos limitar el daño causado. El gobierno estadounidense debe proveer una asistencia directa, efectiva y en tiempo real a los proveedores de infraestructura crucial en el sector privado para ayudarlos a mejor rápidamente sus defensas. Este enfoque de defensa colectiva requerirá que el gobierno recabe y comparta inteligencia altamente clasificada a gran escala y velocidad, y colabore activamente con el sector privado en la defensa. Si hemos de tener éxito en esta guerra muy real, debemos dejarle en claro al mundo que aun cuando no empezamos esta pelea, le pondremos fin de manera exitosa.