ESTADOS UNIDOS NECESITA UNA ESTRATEGIA CIBERNÉTICA DISEÑADA PARA LA DEFENSA
LA GUERRA CIBERNÉTICA es una entrada nueva en el juego de herramientas de la política exterior, tanto así que nuestro gobierno parece inseguro sobre cómo clasificarla. ¿Debemos pensar los ataques cibernéticos como sanciones? ¿Ataques aéreos? ¿Espionaje? ¿“Guerra” es un nombre poco apropiado? Aun cuando cualquier terminología tendrá sus fallas, sería mejor considerar los ataques cibernéticos como una táctica expansible que puede funcionar como un arma de guerra, un arma —como cualquier otra convencional— cuyo uso por parte de Estados Unidos debe estar sujeto a la supervisión constitucional, constreñido por normas que protejan a civiles inocentes y diseñado para la defensa.
En palabras comunes, un “ataque cibernético” puede ser cualquier cosa, desde el phishing hasta el secuestro de datos, desde los ataques de negación de servicio hasta las filtraciones masivas de datos personales o comunicaciones, desde la intromisión en elecciones extranjeras a través de la manipulación de los votantes o el sabotaje de los resultados electorales hasta apagar redes eléctricas, desde dañar centrífugas nucleares hasta provocar explosiones de manera remota o inhabilitar las defensas enemigas. Si el “internet de las cosas” se expande y el uso de vehículos autónomos se difunde, el potencial destructivo de la guerra cibernética aumentará rápidamente.
Hacer estallar un edificio, sobre todo si la explosión mata personas o daña infraestructura de seguridad nacional, no es un acto menos grave solo porque el arma elegida sea digital. El daño a importantes empresas de servicios públicos o la confusión política provocada por la intromisión electoral son tan capaces de costar vidas como las explosiones.
Esta adaptabilidad presenta un grado de incertidumbre ausente en las armas y técnicas más convencionales, y esa incertidumbre hace que la restricción y responsabilidad en el uso de la guerra cibernética en la
política exterior estadounidense sean aún más importantes.
Esta laxitud es un error que pone en riesgo la seguridad de Estados Unidos. La CIA ya ha usado su nuevo poder para “una combinación de cosas destructivas”, le dijo un exfuncionario estadounidense a Yahoo! News, “y también la divulgación pública de datos: filtraciones o cosas que se parecen a filtraciones”. Este es el tipo de comportamiento que fácilmente podría hundirnos en una guerra, pero la Constitución le asigna el poder de iniciar una guerra exclusivamente a la legislatura, y el papel de comandante en jefe al presidente. Pasarle esas responsabilidades a una agencia que por naturaleza opera en secreto es una abrogación peligrosa y poco democrática del deber. El pueblo estadounidense y los militares nunca deben estar en riesgo de verse comprometidos en un conflicto iniciado por la burocracia.
También son vitales las protecciones civiles, como aquellas para otras armas de guerra. Brad Smith, presidente de Microsoft, ha argumentado a favor de unos “convenios de Ginebra digitales”, los cuales “pedirían a los gobiernos del mundo que prometan el no comprometerse en ataques cibernéticos contra el sector privado, que no atacarán infraestructura civil, ya sea de la variedad eléctrica o económica o política”, y que “no acopiarán vulnerabilidades”, ocultándolas de las partes particulares que podrían reparar esos problemas. Un convenio internacional tal vez no sea factible o incluso deseable, pero no lo necesitamos para que Estados Unidos codifique tales compromisos en nuestras leyes para proteger a los civiles aquí y en el extranjero.
Finalmente, más allá de estas restricciones de procedimiento y humanitarias, el uso estadounidense de la guerra cibernética se debe predicar con base en una estrategia de defensa, no de ofensiva. “En todo el gobierno federal estadounidense”, según reportó Reuters, un increíble “90 por ciento de todo el gasto en programas cibernéticos se dedica a acciones ofensivas”.
Esto es exactamente un paso atrás, y notablemente imprudente. Ese financiamiento debería cambiarse de inmediato a medidas defensivas. Esto incluiría endurecer los blancos en línea, como argumentan Brandon Valeriano y Benjamin Jensen, eruditos del Instituto Cato, en su análisis de 2019 sobre la restricción en la defensa digital. Esto “puede ir desde emplear hackers ‘de sombrero blanco’, hackers éticos de computadoras que penetran los sistemas con el fin de identificar vulnerabilidades, hasta actualizar los sistemas de defensa cibernética con regularidad”, señalan, así como educar mejor al personal federal sobre la naturaleza de las amenazas digitales.
Asegurar la infraestructura importante y los sistemas de armas es especialmente relevante. La Oficina de Responsabilidad Gubernamental reportó en 2018 que “de 2012 a 2017, los probadores [del Departamento de Defensa] rutinariamente hallaron vulnerabilidades cibernéticas esenciales en casi todos los sistemas de armas que estaban en desarrollo. Usando herramientas y técnicas relativamente simples, en las pruebas fueron capaces de tomar el control de estos sistemas y, en gran medida, operar sin ser detectados”. En este contexto, esa cifra del 90 por ciento representa una negligencia del todo inexcusable. Contrario al cliché deportivo usual, como sostienen Valeriano y Jensen, “en el ciberespacio, la mejor defensa es en realidad una buena defensa”.
Carente de esas mejoras, las defensas cibernéticas de nuestro gobierno están lejos de ser lo que deberían ser, como lo demostraron demasiado bien el hackeo a la Oficina de Manejo de Personal en 2016 y el ataque de este año al Departamento de Salud y Servicios Humanos. En vez de buscar un conflicto que bien podría intensificarse hasta una guerra a tiros, Washington debería enfocarse en hacer más segura su propia casa. Dejen de jugar al hacker en el extranjero y apuntalen nuestras defensas, sobre todo cuando los miedos de una interferencia electoral extranjera son tan altos. Hagan de la seguridad cibernética una fuente de fortaleza en vez de un riesgo mediante terminar nuestros programas de intromisión agresiva en el espacio digital de otras naciones e impidiendo su intromisión en el nuestro.