Pocos adivinarían que este hombre menudo, de manos delicadas y hablar suave es un personaje clave en la moderación de fuerzas colosales e invisibles. Christopher Painter coordina los asuntos cibernéticos en el Departamento de Estado de Estados Unidos. Es, pues, pionero de un territorio no cartografiado. Curtido en las batallas del espacio virtual desde que, en los 90, ejerció como fiscal en casos de crímenes informáticos, Painter es un veterano del espacio virtual.

Visitó la Argentina este mes para participar de la 3a. Conferencia y Taller Internacionales de Ciberseguridad e Infraestructura Crítica, organizada por el Ministerio del Interior.

Fue una oportunidad inmejorable para conversar de temas que sólo muy de vez en cuando salen a la luz: la ciberseguridad y las frenéticas conversaciones que las naciones más poderosas sostienen para evitar una escalada que en lugar de armas opera con bits y bytes.

-¿Cuáles son sus responsabilidades en el Departamento de Estado?

-Empecé esta asignación hace unos cuatro años, venía de la casa Blanca, donde había estado dos años, y antes de eso estuve en el Departamento de Justicia como fiscal de crímenes cibernéticos. Así que llevo unos 23 años con estos temas; eso es mucho tiempo. Una de las cosas que hago es revisar todas nuestras políticas relacionadas con estos asuntos y el objetivo es sacar un plan de acción. Uno de los puntos de ese plan es desarrollar más nuestra estrategia internacional en el ciberespacio. Esto significa reconocer que no se trata de un asunto sólo doméstico, sino también internacional.

-¿Todo esto fue una decisión de Obama?

-Sí, cuando el presidente Obama asumió hizo mucho foco en ciberseguridad y asuntos cibernéticos en general.

-¿Estados Unidos fue el primer país en tener un departamento como éste?

-Fuimos los primeros en establecer a alguien en el Ministerio de Asuntos Exteriores, y ahora hay unos 20 países haciendo lo mismo. Lo que hemos ido viendo, y usted probablemente también lo ha visto, porque ha estado siguiendo estos asuntos durante mucho tiempo, es que tan sólo unos pocos años atrás, cuando uno hablaba de estos temas, en particular cuando se trataba de amenazas y actividades cibernéticas, si lo hacía con un formador de políticas del más alto nivel, como un ministro, esa persona iba a decir que todo eso era muy interesante, pero que era algo técnico, que no entendía de eso y que lo trasladaría a los expertos. Ahora hay un consenso cada vez mayor, ciertamente en nuestro gobierno, en muchos gobiernos del mundo y también en el gobierno de aquí, de que esto no sólo es un asunto técnico, sino que es medular para la seguridad internacional, la economía, los derechos y la política exterior.

-¿Qué sabe sobre lo que está haciendo la Argentina en este aspecto?

-Lo que sé es que hemos estado trabajando con el gobierno argentino, con el gabinete de ministros, en especial con la gente que se dedica a la ciberseguridad, durante una cantidad de años, compartiendo información relacionada con la lucha contra el crimen informático, reforzando la ciberseguridad, en particular la relacionada con la infraestructura crítica, y no sólo compartiendo información, sino también trabajando en capacitación para otros países. Así que hemos desarrollado una relación que creo que es buena y sólida. De hecho, compartimos valores en el ciberespacio. Creemos en un ciberespacio abierto. Creemos en la libertad de expresión. Creemos en un sistema multilateral que incluya no sólo a los gobiernos, sino también a los sectores privados. Creemos en la ciberseguridad como un asunto de la mayor importancia a medida que vemos estas amenazas, un hecho que para nosotros quedó en evidencia recientemente por el ataque a Sony Pictures, que le atribuimos a Corea del Norte y que fue único porque se trató de un ataque destructivo. Es decir, no fue sólo un robo. Fue destructivo. Ahora imagínese que hubiera sido un ataque contra la infraestructura crítica del país. El sistema eléctrico o el sector financiero, por ejemplo. Esos son los ataques por los que tenemos que estar más preocupados y en los que tenemos que trabajar juntos. Algo muy interesante, que no existía hace cuatro años, y es también mi percepción de lo que ocurre en la Argentina, es que cuanto más estos asuntos se convierten en temas de primera plana, mayor coordinación se necesita entre los diferentes jugadores, incluso dentro del gobierno. Mi oficina habla con el Departamento de Seguridad Nacional, el Bureau de Justicia, el Departamento de Defensa, el Departamento del Congreso…, con mucha gente, incluso con la Casa Blanca.

-Y también con países rivales, como Rusia y China.

-Sí, es importante que entablemos conversaciones con los países con los que estamos de acuerdo y también con los que no estamos de acuerdo.

-¿Por qué?

-Mire, en algunas áreas no vamos a poder ponernos de acuerdo. Yo lideré el grupo de trabajo sobre temas cibernéticos Estados Unidos-China, y aunque este grupo está ahora en suspenso, seguimos hablando con China en una cantidad de foros, incluido el Grupo de Expertos Gubernamentales de las Naciones Unidas en el que se tratan estas cuestiones [GGE, por sus siglas en inglés]. Y cuando hablamos con China e incluso con Rusia, decimos: OK, tenemos ciertas preocupaciones, y tenemos que plantear esas preocupaciones, sean las que tienen que ver con los derechos humanos o con el robo de secretos industriales, tenemos que abordarlas. Pero también tenemos un interés en común relacionado con los ataques de terceros. Es decir, si estuviéramos enfrentando, digamos, un grupo criminal transnacional que estuviera amenazando a nuestros países, no hay ninguna razón por la que no podamos encontrar una manera de cooperar. Por otra parte, no queremos que haya malentendidos. Cuando los países no tienen mucho conocimiento acerca de cómo el otro opera, y en esto lo único similar es la guerra nuclear, hacen falta medidas para construir confianza y transparencia, especialmente cuando, como es el caso del ciberespacio, la atribución es muy difícil. Es una nueva área, y lo que hacemos es definir quién es el contacto [en cada país], intercambiar doctrina, incluso tener una línea caliente.

-¿Es verdad que se sigue usando la misma hotline que antes servía para evitar una guerra nuclear?

-Una de las cosas que acordamos con Rusia, hace un par de años, fue la de usar para los asuntos cibernéticos el Centro de Reducción del Riesgo Nuclear, que en la actualidad sirve también para otras cuestiones, como el cambio climático, pero sí, esa historia es cierta. Pero no es una línea telefónica, es un sistema de mensajería. La otra cuestión es que tenemos que asegurarnos que las mismas normas se apliquen offline y online. En el contexto de los derechos humanos, eso es lo que dice la declaración del Consejo de los Derechos Humanos de las Naciones Unidas, que deben respetarse offline y online. Esto no nos sorprende a usted y a mí, pero es todo un tema, porque muchos países dicen que ahora necesitamos un nuevo conjunto de reglas. En el GGE, donde estaban China, Rusia y un número de otros países, incluida la Argentina, llegaron a un acuerdo en el que cuando se trata de conflictos en el ciberespacio, en el nivel más alto, las leyes internacionales aplican de la misma forma en el ciberespacio que en el mundo físico. Eso, de hecho, es muy bueno para la estabilidad, porque si se necesitara un nuevo sistema de reglas, entonces cualquier acción estaría vedada y eso sería un problema.

-¿Es posible perder infraestructura crítica a causa de un ataque informático?

-Es posible, pero no es tan sencillo como la televisión nos ha acostumbrado a creer. Son ataques de baja probabilidad y alto impacto. Y no se trata de una sola bala. Para derribar la infraestructura crítica es necesario mantener la actividad, y eso no es fácil tampoco, así que estoy de acuerdo con usted en que el asunto está hasta cierto punto sobredimensionado. Tenemos que estar preparados para ese ataque, pero al hacerlo no podemos ignorar los ataques que vemos todos los días, robo de propiedad intelectual, de información de tarjetas de crédito. Parte de ese estar preparados pasa por las campañas de concientización y por la capacitación, y esa es una de las áreas en las que la Argentina tiene que hacer foco, fue una de las cuestiones de las que hablaron en la conferencia aquí. Así que es un tema muy multifacético, pero, de nuevo, usted tiene que pensar para qué estamos haciendo toda esta ciberseguridad. Bueno, usted no quiere que ataquen su infraestructura, no quiere que sus secretos industriales sean robados, ni la información de sus tarjetas de crédito, usted tiene que poder confiar en el sistema, es la base de la innovación económica y el crecimiento que Internet realmente permite. Lo que me lleva al otro tema aquí: el de los gobiernos que están muy preocupados y no ven a Internet como una oportunidad, sino como una amenaza.

-Al libro impreso se lo vio de la misma manera, 500 años atrás.

-Exacto. Quiero decir, es un intento de controlar la Red, esta idea de crear alguna clase de Internet controlada sólo por el gobierno…, si ese hubiera sido el sistema desde el principio, no estaríamos ahora usando Internet.

-¿Qué países están mejor preparados para resistir ataques informáticos? ¿Los más ricos o los que tienen más y mejores ingenieros y programadores?

-Es difícil responder eso, porque cuanto más desarrollado está un país, más dependiente es de estas tecnologías y más vulnerabilidades tendrá. Ese país puede tener más capacidad de defender sus redes, pero a la vez tendrá más cosas que dependen de esas redes. En los Estados Unidos, respecto de nuestra infraestructura crítica en particular, hemos estado haciendo algo que llamamos el NIST Framework, por el National Institute of Standards and Technology. El presidente libró una orden ejecutiva que dice que el NIST debe trabajar con el sector privado para desarrollar un marco operativo voluntario basado en buenas prácticas y reglas flexibles, para reducir los riesgos cibernéticos de la infraestructura crítica. También hicimos un plan nacional de respuesta a los incidentes. Y la semana pasada el presidente Obama anunció una nueva herramienta, sanciones económicas para lidiar con las amenazas informáticas; es una herramienta para que los criminales informáticos que realicen ataques muy significativos contra Estados Unidos no se beneficien de nuestro sistema financiero.

-Me gustaría una reflexión suya sobre el caso Snowden.

-Esta no es realmente mi área, el tema de la vigilancia y lo que eso significa. Pero lo que diría es esto: creo que es importante tener un debate sobre el tema. Todos los países tienen derecho a recolectar información con el fin de proteger a sus ciudadanos de las amenazas del terrorismo, absolutamente. Lo importante es que utilicemos los procedimientos correctos en términos de transparencia, legalidad y supervisión. Creo que Estados Unidos cumple con tales procedimientos, aunque los ha reforzado durante el último año, ha habido un debate muy fuerte, y eso es importante. Estados Unidos está teniendo ese debate, quizás más que cualquier otro país; algunos países no han tenido ese debate en absoluto. Ahora bien, mi preocupación es que la gente saque la conclusión de que hace falta que Internet esté controlada por el Estado. Los que están tratando de sacar ventaja de esto en realidad intentan imponer una agenda diferente o están diciendo que no podemos tener flujo libre de información debido a los asuntos relacionados con las revelaciones o, mire, hay países que prefieren usar la frase “seguridad de la información” en lugar de “ciberseguridad”, y eso quiere decir control de la información. Así que está bien tener un debate, pero también es importante que no perdamos de vista nuestros objetivos de largo plazo: tener una Internet abierta, tener un sistema multilateral, y que la ciberseguridad no sea una excusa para que los regímenes más represivos controlen contenidos.

UN FUTURO POSIBLE, SEGÚN PAINTER

¿CUÁLES SON LAS DIFERENCIAS MÁS DESAFIANTES ENTRE EL ESPACIO VIRTUAL Y EL MUNDO FÍSICO?

Para las compañías, por ejemplo, es más difícil comprender las amenazas. Si alguien entra por la fuerza y rompe esta mesa o trata de robársela, bueno, es fácil entender la amenaza. Pero si usted cierra la puerta por medios electrónicos, alguien podría entrar ahí sin que lo sepa, y eso es más difícil de entender. Otra cosa es que en el mundo real todos sabemos cómo cerrar una puerta, y sabemos también que si alguien la rompe y entra, será arrestado y juzgado. De la misma forma deberíamos aprender cómo cerrar nuestras puertas en el ciberespacio: mantenernos libres de virus, con el sistema actualizado, tomar precauciones. Pero eso no significa no usar estos servicios. Significa ejercitar el sentido común. No quiero que la gente se vuelva tan paranoica que no use estos servicios. Creo que lo cíber es el nuevo negro, todo el mundo se preocupa por lo cíber, está de moda, lo que es bueno y malo. Es bueno porque la gente está empezando a concientizarse, pero también hay que asegurarse de que la gente entienda de qué se trata esto realmente.

MANO A MANO

LA HISTORIA DE COLOSSUS

El cine y sus hackers han contribuido mucho a crear una visión romántica y en buena medida equivocada -cuando no delirante- de la guerra cibernética y los desafíos que impone la ciberseguridad. -¿Cuál es su película favorita de hackers? No Swordfish, supongo. -No, noSwordfish [risas]. Pero Sneakers, sí. Sneakers me gusta. El film de 1992 con Robert Redford, Dan Aykroyd y Sidney Poitier trata sobre computadoras, criptografía, gobierno y espionaje. Su asistente sugiere, con justicia, el clásico de 1983 Juegos de guerra. -¡Sí, es una buena película! Pero mi favorita en realidad es Colossus, el proyecto prohibido. Es una película de 1971, la primera en la que las computadoras toman control del mundo. La historia es que Estados Unidos construye la computadora Colossus para controlar su arsenal nuclear. Los soviéticos roban la información y construyen Guardian, con el mismo propósito. Ambas computadoras se ponen en contacto, hablan entre ellas y llegan a la conclusión de que para proteger a la humanidad de sí misma deben tomar control del mundo y empezar a limitar las libertades. Y esto fue mucho antes de Juegos de guerra.

 

Por Ariel Torres

Fuente: lanacion.com.ar

Anuncios