NUEVA YORK– Durante la Guerra Fría, las cumbres entre Estados Unidos y la Unión Soviética a menudo estuvieron dominadas por acuerdos para fijar límites a las armas nucleares y los sistemas construidos para lanzarlas. Estados Unidos y Rusia aún discuten sobre estos asuntos, pero en su reunión reciente, en Ginebra, los presidentes estadounidense, Joe Biden, y ruso, Vladímir Putin, se centraron en gran medida en cómo regular el comportamiento en un terreno distinto: el ciberespacio. Lo que está en juego es igual de relevante.
Es fácil entender por qué: el ciberespacio e Internet son fundamentales para el funcionamiento de las economías, sociedades, sistemas políticos, fuerzas militares y casi todo lo demás en el mundo moderno, lo que convierte la infraestructura digital en un objetivo tentador para quienes buscan causar trastornos y daños extraordinarios con un costo mínimo.
Además, tanto los actores estatales como los no estatales pueden llevar a cabo ciberataques y luego negar su responsabilidad, lo que aumenta la tentación de desarrollar y usar esas capacidades.
Sabemos cuándo se lanza un misil y desde dónde, pero toma mucho tiempo descubrir que hubo un ciberataque... y encontrar al responsable, más aún.
Un proceso de responsabilización tan lento e incierto puede llevar a que la amenaza de represalias, fundamental para la disuasión, resulte imposible.
Lo que puso este tema de lleno en la agenda de la reunión entre Biden y Putin es que Rusia se ha tornado cada vez más agresiva en el ciberespacio, ya sea mediante la creación de cuentas falsas en las redes sociales para influir sobre la política estadounidense u obteniendo acceso a infraestructura crítica, como plantas de generación de energía.
Una cuestión que refuerza la trascendencia de este problema es que Rusia no está sola: supuestamente, China logró acceder en el 2015 a los registros de 22 millones de empleados gubernamentales estadounidenses, con información que le facilitaría la detección de quienes trabajan para la comunidad de inteligencia de Estados Unidos.
Espacio con pocas leyes. De igual manera, Corea del Norte atacó a Sony (y comprometió todo tipo de comunicaciones privadas) en sus esfuerzos para impedir la distribución de una película satírica que mostraba el asesinato de su líder. Todo esto ha creado un nuevo lejano Oeste: muchas personas armadas que operan en un espacio con pocas leyes y sheriffs para hacerlas cumplir.
Tradicionalmente, Estados Unidos estuvo a favor de una Internet en gran medida desestructurada —«abierta, interoperable, segura y confiable» según una política fijada hace una década— para promover el libre flujo de ideas e información.
Pero el entusiasmo estadounidense por ese tipo de Internet está desapareciendo a medida que sus enemigos explotan su apertura para socavar su democracia y robar propiedad intelectual valiosa para el funcionamiento y la ventaja comparativa de su economía.
La cuestión —más fácil de plantear que de responder— es dónde marcar los límites y cómo lograr que otros los acepten. En primer lugar, Estados Unidos no está libre de contradicciones, ya que también lleva a cabo espionaje en el ciberespacio (pensemos en el equivalente moderno de abrir sobres con vapor para leer el correo de otros) y supuestamente, junto con Israel, instaló programas maliciosos para sabotear el proyecto de armas nucleares iraní. Por tanto, es de suponer que las prohibiciones de las actividades en el ciberespacio serían parciales.
Una idea promisoria es continuar en consonancia con lo discutido por Biden y Putin, es decir, prohibir que la infraestructura crítica se convierta en un objetivo (esta incluiría, entre otros, represas, instalaciones de producción de petróleo y gas, redes eléctricas, instalaciones de atención sanitaria, plantas nucleares de generación eléctrica, sistemas de comando y control de armas nucleares, aeropuertos y grandes fábricas). La capacidad cibernética puede transformarse en un arma de destrucción masiva cuando se comprometen esos sitios estratégicos.
Disuasión. Incluso con un acuerdo de ese tipo resulta imposible verificar el cumplimiento, por lo que tal vez Estados Unidos desee introducir algún grado de disuasión para garantizar que las partes involucradas honren sus promesas.
La disuasión podría implicar la voluntad declarada de aplicar respuestas simétricas: si atacas nuestra infraestructura crítica, haremos lo mismo con la tuya. La disuasión también puede ser asimétrica: si atacas nuestras instalaciones, te sancionaremos o perjudicaremos otros de tus intereses.
También se deben reforzar los acuerdos de ese tipo con acciones unilaterales, considerando lo que está en juego y que otros acuerdos (como el compromiso de no robar propiedad intelectual planteado por China en el 2015) fueron infringidos. Por ejemplo, Estados Unidos haría bien en reducir la vulnerabilidad de sus sistemas más valiosos.
También sería necesario declarar o negociar que no se aceptará que los gobiernos afirmen que ignoran las actividades cibernéticas agresivas, o nieguen su participación en ellas (como cuando Putin dijo que su gobierno no había tenido nada que ver con los ataques rusos con programas de cibersecuestro de datos o ransomware).
En este caso, la analogía es con el terrorismo: después de los ataques del 11 de setiembre del 2001, Estados Unidos dejó en claro que no haría distinciones entre los grupos terroristas y los gobiernos que les proporcionaran apoyo o santuario.
Rusia sería entonces responsable por las acciones de los grupos que actúen desde su territorio. Insistir en las responsabilidades debiera aumentar los incentivos para que Rusia ponga freno a esos comportamientos.
Con el tiempo, un pacto entre Estados Unidos y Rusia podría funcionar como un modelo al que se podrían sumar China, Europa y otros. Si se extendiera a China, se podrían agregar prohibiciones al robo de la propiedad intelectual (y penas por infringirlas).
Nada de esto garantiza el desarme; no obstante, constituye el equivalente cibernético del control de armas, que es un punto de partida tan bueno como cualquier otro.
Richard N. Haass es presidente del Consejo de Relaciones Exteriores (Council on Foreign Relations).
© Project Syndicate 1995–2021