EscucharWASHINGTON, D. C.– El reciente descubrimiento del devastador ciberataque Sunburst, contra blancos estadounidenses y del resto del mundo, renueva la necesidad de una respuesta de la comunidad internacional en vista del aumento de estos hechos.
Durante el año, expertos en ciberseguridad enfrentaron una oleada de ataques contra infraestructuras fundamentales (que alcanzó a instituciones que participan en la lucha contra la pandemia de covid‑19).
Más allá de la expresa condena gubernamental a algunas de estas conductas, es evidente la necesidad de más acción colectiva.
No hay un tratado internacional para el ciberespacio, y las once normas no vinculantes de comportamiento estatal responsable adoptadas por la Asamblea General de las Naciones Unidas son hasta cierto punto ambiguas.
Todo el tiempo se proponen normas adicionales, lo cual es bueno, pero una norma no es lo mismo que un tratado, y no puede aplicarse del mismo modo.
Lo mejor es prestar atención al espíritu, no solo a la letra de lo que las normas intentan expresar. De hecho, el último ataque descubierto es una clara demostración de por qué un tratado internacional sobre ciberseguridad no funcionaría.
SolarWinds, una importante empresa estadounidense de gestión de redes, produce una plataforma de monitoreo que otorga a personal de apoyo técnico acceso remoto a dispositivos que la tengan instalada.
El reciente ataque contra cadenas de suministro secuestró la función de actualización del software para instalar un malware llamado Sunburst.
Según informa la publicación tecnológica The Register, solo en Estados Unidos la plataforma de SolarWinds está instalada en más de 425 corporaciones listadas en el Fortune 500, todas las grandes empresas de telecomunicaciones y la mayoría de los organismos públicos (y su presencia es similar en muchas otras economías desarrolladas).
En tanto, la empresa de ciberseguridad FireEye —que a principios de la semana pasada emitió una advertencia que permitió revelar los ataques— señala que aunque el objetivo probable de los atacantes era el gobierno de Estados Unidos puede haber instituciones de todo el mundo vulneradas.
El gobierno estadounidense sospecha de los servicios de inteligencia rusos, y el experto en ciberseguridad Jeff Moss sostuvo que la revelación de los ataques incluso alentaría a los autores a cometer otros hechos similares.
Lo que sabemos a ciencia cierta es que el ataque a través de la plataforma de SolarWinds se gestó a lo largo de muchos meses, en coincidencia con las últimas negociaciones intergubernamentales para fortalecer y aclarar las normas para el ciberespacio.
De las ocho normas propuestas por la Comisión Mundial sobre la Estabilidad del Ciberespacio, hubo una violación clara de cuando menos una: la que obliga a actores estatales y no estatales a abstenerse de adulterar productos y servicios en desarrollo y producción.
Puede que se hayan violado también otras, por ejemplo, la que protege el «núcleo público» (la infraestructura troncal o backbone) de Internet. Este también es uno de los principios del Llamado de París a la Confianza y la Seguridad en el Ciberespacio, firmado por más de mil entidades gubernamentales, empresariales y de la sociedad civil.
Pero lo fundamental es que por lo menos tres de las once normas ya adoptadas por la Asamblea General de las Naciones Unidas son aplicables al caso de SolarWinds, incluidas las protecciones estipuladas para la cadena de suministros del área de la tecnología de la información y las comunicaciones, para las infraestructuras fundamentales y para las entidades mismas encargadas de la defensa del ciberespacio.
Algunos críticos dirán que la redacción de las normas es tan imprecisa que permite esta clase de actividades, pero disentimos.
Es común que los ciberataques parezcan diseñados para caer en un área gris entre las normas acordadas, pero esa no es razón para excusarlos.
En el 2015, en los meses que siguieron al acuerdo mediado por la ONU sobre la norma de protección de infraestructuras fundamentales, hubo como mínimo tres ataques que parecieron intentos de poner a prueba los límites del acuerdo.
Por ejemplo, uno de ellos dejó casi destruida una acerera alemana, pero puede decirse que no tocó la infraestructura fundamental registrada de la que formaba parte.
Otro a inutilizó una red de distribución eléctrica en Ucrania, pero en forma temporal y, posiblemente, en un contexto bélico en el cual rigen reglas diferentes.
Una de las mayores estaciones de televisión privada de Francia sufrió un ataque que la sacó del aire; sin embargo, la red no estaba designada oficialmente como infraestructura nacional fundamental.
La deficiente respuesta internacional a estas violaciones tal vez contribuyó a alentar un ataque mucho más polémico y visible: contra la elección presidencial estadounidense del 2016.
Este hecho también cayó en un área gris, porque en aquel momento las elecciones y los procesos electorales no estaban designados oficialmente como «infraestructuras fundamentales».
Nadie puede pretender que en estos casos, al no haber una violación clara de normas, no se cometió falta alguna. Las normas no son reglas legalmente vinculantes —con una redacción exacta determinante—, sino instrumentos flexibles, que pueden interpretarse de muchas formas, y eso constituye una fortaleza, no una debilidad.
Existen precisamente porque interpretar el modo de someter al ciberespacio al derecho internacional suele ser difícil y porque las democracias en general prefieren no firmar un tratado internacional cuya redacción será inadecuada y su vigilancia, insuficiente.
El caso SolarWinds muestra la razón: en el ciberespacio, siempre es posible diseñar técnicas nuevas que escapen a cualquier texto concreto. Pero también muestra que proponer nuevas normas, incluso si solo serán subsidiarias de las ya existentes, ayuda a aclarar con precisión los valores que la comunidad internacional intenta reforzar.
Un esquema basado en normas que no esté inmovilizado por definiciones incompletas podría facilitar una respuesta más sólida que contrarreste y desaliente actividades maliciosas en el ciberespacio. Mas la aplicación de esas normas y el castigo de infracciones dependerán de la voluntad política.
El mejor modo de disuadir a actores estatales malintencionados es mediante una acción colectiva que imponga consecuencias y establezca, así, un derecho internacional consuetudinario.
En última instancia, las normas existen para promover y sostener esta clase de respuesta ahí donde corresponda, no para inhibirla.
Para que el reciente aumento de conflictividad en el ciberespacio no se salga de control, se necesita con urgencia esa clase de acciones internacionales.
Michael Chertoff: exsecretario de seguridad nacional de Estados Unidos, es copresidente de la Comisión Mundial sobre la Estabilidad del Ciberespacio.
Latha Reddy: ex asesora adjunta de seguridad nacional de la India, es copresidenta de la Comisión Mundial sobre la Estabilidad del Ciberespacio.
Alexander Klimburg: es el director de la Comisión Mundial sobre la Estabilidad del Ciberespacio.
© Project Syndicate 1995–2020
