Estados Unidos no está preparado para un ciberataque

Christopher Mims, The Wall Street Journal

El reciente ciberataque que noqueó más de 1,200 sitios web fue una advertencia. Los expertos dicen que si un ataque similar, o incluso más grande, fuera lanzado mañana, el país sería impotente para prevenirlo.

Nadie parece saber quien estuvo detrás del ataque, que fue lanzado por un “botnet” de miles de aparatos conectados a internet. El Departmento de Seguridad Nacional de EU no cree que el culpable fuera otro país.

Esto parece un alivio, pero en realidad es una noticia aún más terrible: ya no hace falta un gobierno o un hábil hacker para que internet se vuelva inaccesible para millones de personas. Cualquiera puede comprar la capacidad para hacer tal daño por menos de US$1,000.

Las países o los hackers más sofisticados son capaces de hacer cosas peores, según los expertos en cibersecuridad. Y el poder disuasorio de la amenaza de un contraatque cibernético o físico parece no ser suficiente.

Se cree que Estados Unidos empleó armas cibernéticas para paralizar el programa de enriquecimiento de combustible nuclear de Irán y que lanzó un dron para matar a un hacker que se cree que está trabajando con el Estado islámico. Más recientemente, el gobierno de Obama prometió tomar represalias contra Rusia por hackear cuentas de correo electrónico de estadounidenses prominentes.

El Pentágono tiene un cibercomando con capacidades defensivas y cada vez más ofensivas. Pero el almirante retirado James Stavridis, ex comandante supremo aliado de la OTAN, dice que es un equipo de “rejunte” de personal de otras ramas militares.

“Fundamentalmente [lo cibernético] no es diferente de aire, mar o tierra”, dice Stavridis, ahora decano de la Facultad de Derecho y Diplomacia Fletcher de la Universidad Tufts. “Es un lugar. Y allí vamos a tener preocupaciones de seguridad nacional”.

Eso significa que el país debería crear una “fuerza cibernética” y nombrar un director de ciberseguridad, tal como nombró un director de inteligencia nacional luego del 11 de septiembre, dice Stavridis. Tal fuerza sería capaz de responder no sólo a los ataques contra el gobierno y fuerzas armadas de Estados Unidos, sino también contra ciudadanos de ese país, sus empresas e infraestructura.

Un portavoz del Departamento de Defensa dice que las respuestas a los ataques cibernéticos necesitan abarcar “los sectores público y privado en todos los niveles”, como describe en una directiva reciente de la Casa Blanca. En la mayoría de los casos, dice el portavoz, el Pentágono no debería estar involucrado, a menos que un ataque represente un “daño demostrable a la seguridad nacional o intereses fundamentales” de Estados Unidos, como la economía, las relaciones exteriores o la salud pública.

Al mismo tiempo, los organismos estadounidenses de seguridad están a punto de expandir su autoridad para ingresar a computadoras sospechosas de estar involucradas en un ciberataque u otro crimen. Los cambios propuestos a la poco conocida Regla 41 de las Reglas Federales de Procedimiento Penal entrarán en vigencia el 1 de diciembre, a menos que el Congreso las bloquee. Las nuevas reglas permitirán a un juez emitir una orden que permita a los agentes bloquear o inhabilitar cualquier computadora, ya sea un servidor web de una empresa privada o un televisor inteligente en su sala de estar.

Las líneas entre el ejército y los organismos locales de seguridad pueden difuminarse, porque los ataques pueden tomar muchas formas. Consideremos el caso de un ataque contra computadoras estadounidenses lanzado por terroristas que operan en el extranjero.

Si le asusta la idea de cibercomandos financiados por el Pentágono que empleen armas desarrolladas por la NSA, o agentes del FBI infiltrándose y atacando computadoras, usted no está solo. El jueves, un grupo bipartidista de legisladores escribió a la Fiscal General Loretta Lynch para expresar su preocupación por el cambio a la Regla 41.

Los expertos en seguridad con los que hablé sugirieron varias alternativas para mejorar las ciberdefensas de Estados Unidos.

Dave Aitel, director ejecutivo de la empresa de seguridad cibernética Immunity Inc. y asesor técnico del Departamento de Comercio, dice que los legisladores podrían considerar autorizar a las víctimas a “hackear” a los atacantes. Pero esto presentaría sus propios desafíos, requiriendo cambios al derecho internacional y nuevos acuerdos entre países, para que la retribución de una empresa privada contra un atacante en cualquier parte del mundo no sea interpretada como un acto de guerra.

Para abordar los problemas planteados por el reciente ataque de botnet, algunas personas han sugerido nuevas reglas para los dispositivos conectados a internet.

Las agencias reguladoras federales tienen una autoridad limitada en este ámbito. La Comisión Federal de Comercio en general responde sólo después de un incidente, aunque puede exigir a las empresas que hagan un llamado a reparación de sus productos y contraten auditores externos. El senador Mark Warner sugirió que la Comisión Federal de Comunicaciones examine la seguridad de los productos conectados a internet antes de que sean puestos a la venta. Incluso si se adoptan, eso no afectaría a los dispositivos fabricados y utilizados fuera de Estados Unidos. Tampoco las nuevas normas remediarían los millones de dispositivos vulnerables conectados a internet que ya están en uso.

Jeremiah Grossman, jefe de estrategia de seguridad de Sentinel One Inc., dice que los fabricantes de dispositivos deberían tener responsabilidad legal por los daños causados por dispositivos inseguros. Eso permitiría a Netflix Inc., por ejemplo, demandar a Hangzhou Xiongmai Technology Co., fabricante de muchas de las cámaras conectadas a Internet usadas en el reciente ataque que interrumpió el servicio de Netflix.

Al fin de cuentas, todas las propuestas para un internet mejor defendido parecen inadecuadas. Se prestan para una extralimitación de funciones del gobierno, el ciber-vigilantismo o la ineficacia.

Sin embargo, tal vez no tengamos elección. Los expertos en seguridad consideran que un “ciber-9/11” es inevitable. Al igual que con los atentados del 11 de septiembre, algunos expertos piensan que se necesitará una calamidad así de grande para que las agencias gubernamentales y el sector privado cooperen hacia una respuesta eficaz.

Solo podemos suponer cómo sería ese ciber 9/11. Los expertos están especialmente preocupados por los sistemas de control industrial, muchos diseñados hace décadas y luego conectados a internet. El Departamento de Justicia en marzo acusó a siete iraníes de presuntamente hackear los controles de una represa cerca de la ciudad de Nueva York, entre otros crímenes.

Le pregunté a Jim Gillespie, cuya firma Grey Matter Systems asegura sistemas de control industrial, qué parte de la infraestructura de Estados Unidos le preocupa más. “Personalmente, estoy más preocupado por la industria del agua”, dijo.

Notas Relacionadas

• La desinformación producida por Inteligencia Artificial es la mayor amenaza global a corto plazo
• Huawei critica su exclusión en 5G en Costa Rica y espera que el país no se rezague
• Kamala Harris urge a atajar los riesgos sociales más inmediatos de la IA
• El nuevo temor relacionado con la Inteligencia Artificial: robots asesinos de Hollywood se convierten en herramientas del ejército
• Prohíben TikTok en teléfonos de Comisión de la Unión Europea

Ver más notas relacionadas