Hace pocos días, la administración de Biden aprobó su nueva Estrategia de Ciberseguridad Nacional, que, en realidad, constituye una actualización de la edición inicial emitida en 2018. Este documento fue concebido para asegurar a sus ciudadanos los beneficios de un ecosistema digital que sea defendible –de una manera simple y efectiva– y resiliente, a la vez que congruente con un conjunto de valores centrales: la prosperidad económica; el respeto por los derechos humanos y las libertades individuales; la vigencia de las instituciones democráticas; y la diversidad y equidad sociales. Hoy, estos valores se encuentran amenazados en el ciberespacio por políticas autoritarias, el robo de información y propiedad intelectual, la desinformación, los ataques a la infraestructura crítica, la difusión de discursos de odio y extremistas, y la actividad criminal.
La estrategia es relativamente breve, aunque mucho más ambiciosa que sus textos precedentes, en algunos aspectos. El primero de ellos tiene que ver con lo que Chris Inglis, el más importante funcionario de la Casa Blanca para estas cuestiones, oportunamente denominó “un nuevo contrato social cibernético”; es decir, una novedosa distribución de responsabilidades en la prevención y mitigación de ataques generados en ese entorno. En esta línea, se contemplan regulaciones obligatorias a empresas privadas de un amplio espectro de actividades, frente a amenazas cibernéticas de distinto tipo. El motivo de este avance es claro: la política gubernamental seguida hasta ahora, de invitar a las compañías privadas a adherirse voluntariamente a sus lineamientos de ciberseguridad, no siempre fue respondida en forma positiva por la contraparte. Es que la adopción de normas y estándares de ciberseguridad puede afectar en forma negativa la innovación y rentabilidad del sector privado.
Cabe destacar que esta necesidad de imponer regulaciones efectivas se sustenta en ataques perpetrados a empresas de ese país, que generaron un enorme daño, tanto a nivel económico como de reputación. Basta con recordar el caso de la tecnológica Solar Winds, proveedora de programas informáticos a numerosas agencias de gobierno, cuyo software fue corrompido por un grupo de ciberespionaje denominado Fancy Bear, presuntamente vinculado al Kremlin. O el de Colonial Pipeline, administradora de una red de oleoductos que abastecía toda la costa oriental estadounidense, que cayó bajo el control de un grupo criminal llamado Darkside, que solicitó una millonaria recompensa para deponer su actitud. Accesoriamente, este último acontecimiento confirmó la vulnerabilidad de las ya mencionadas infraestructuras críticas, esenciales para el normal funcionamiento de la sociedad moderna.
Un segundo aspecto para destacar de la estrategia es que abandona definitivamente una postura defensiva. Así, se autoriza a organismos de las áreas de defensa, inteligencia e imposición de la ley a diseñar y ejecutar operaciones ofensivas en el ciberespacio contra actores tanto estatales como no estatales, cuya conducta afecte en forma negativa los intereses nacionales. Como dato relevante, esos ciberataques no deben ser necesariamente una represalia frente a agresiones sufridas, pues también pueden adquirir un carácter preventivo. Sobre esta última cuestión, la estrategia dedica un pasaje a la disrupción o el desmantelamiento de acciones hostiles, indicando textualmente que el objetivo consiste en “tornar a actores maliciosos en incapaces de montar campañas cibernéticas que puedan amenazar la seguridad nacional o seguridad pública” estadounidenses.
En este punto, se observa un claro alineamiento con el planteo “defensa adelantada e involucramiento persistente”, sostenido en materia cibernética por el Departamento de Defensa, durante el último lustro. Una idea de sesgo proactivo antes que reactivo, que promueve la búsqueda de un constante contacto con los adversarios dentro de sus propios espacios cibernéticos, como mejor vía para defender los intereses nacionales propios y de los aliados.
A la hora de hablar de actores maliciosos, la estrategia no titubea en calificar a China como “la más grande, activa y persistente amenaza a las redes del gobierno y el sector privado” de Estados Unidos. Y destaca dos aspectos en particular del gigante asiático: su constante robo de propiedad intelectual a través de actividades de ciberespionaje, y el empleo de Internet y las redes sociales como mecanismo de control de su población, afectando en forma autoritaria sus derechos y garantías. Rusia también es objeto de una consideración especial, subrayando que el régimen de Putin emplea herramientas cibernéticas para desestabilizar gobiernos e interferir en sus asuntos domésticos. Tampoco pasa desapercibida su ejecución de ciberataques a infraestructuras críticas de Ucrania, al momento de la invasión militar de su territorio, el año pasado. Irán y Corea del Norte completan ese grupo de oponentes estatales de primer nivel en este dominio.
Para finalizar, junto con el novedoso rol de la empresa privada en la prevención y mitigación de ciberataques, y el abandono de posturas defensivas, se destaca en la estrategia el relevante rol otorgado a la cooperación en materia cibernética con aliados y socios externos. En particular, se le asigna un papel relevante a la llamada “Iniciativa Internacional contra el Ransomware”, integrada por más de una docena de países, junto con la Unión Europea. Todos ellos se comprometieron a combatir el empleo de ese tipo de software malicioso por parte de espías, criminales e incluso actores estatales.
En ese contexto, la nueva Estrategia de Ciberseguridad Nacional de Estados Unidos tiene como objetivo mejorar la protección contra las amenazas cibernéticas que pueden dañar al país y sus principales estructuras, buscando una estrecha asociación entre las esferas pública y privada. También tiene como meta garantizar que Internet siga siendo un entorno abierto, libre, global y, sobre todo, seguro, arraigado en los valores universales de respeto de los derechos humanos y las libertades individuales fundamentales.
Por último, es imposible soslayar que Estados Unidos es la principal ciberpotencia de la actualidad, tanto en capacidades defensivas como ofensivas, según prestigiosas fuentes académicas independientes, como la Universidad de Harvard o el Instituto de Estudios Estratégicos de Londres. Al mismo tiempo, el ciberespacio continúa mostrando un limitado nivel de institucionalización, paliado parcialmente por esfuerzos de gobernanza en ciertas áreas temáticas y espacios geográficos. Sin embargo, estos esfuerzos, muchos de ellos impulsados desde Naciones Unidas, no compensan la notable carencia de una convención global en esta materia. En este contexto, la flamante estrategia estadounidense tendrá importantes efectos en la evolución del tablero cibernético global, signado por una “anarquía moderada” y la vigencia de políticas de poder.
(*) Mariano Bartolomé es profesor permanente del Colegio Interamericano de Defensa (CID). El coronel Alexander Ferreira, del Ejército de Brasil, actualmente se desempeña como profesor de Ciberseguridad en el CID.
Seguir leyendo: