Las armas cibernéticas ya no son cosa de ciencia ficción.  Son bastante reales, como también lo es su amenaza a nuestro mundo interconectado.  Esta amenaza seguramente crecerá en el futuro cercano con la Internet de las cosas[1], cuando todos nuestros dispositivos serán inteligentes y estarán conectados a Internet.  Si queremos impedir que Internet sea militarizada, tenemos que empezar a hablar de lo que los Estados-nación deben o no deben hacer.  Y eso significa un pacto internacional a la par de lo que el mundo consiguió para las armas biológicas y químicas, y que no pudo hacer para las armas nucleares.

Aquí hay dos preguntas interconectadas que enfrentamos: ¿vamos a reconocer el peligro que representa el ciberespacio militarizado y enfrentarlo de lleno?  ¿O vamos a permitir que se continúe construyendo un mundo en el que unos pocos países, por su poder ofensivo, lleguen a un estado de disuasión mutua, como nos ha sucedido con las armas nucleares, y que nos deja siempre a la orilla de una situación de descontrol, que puede estallar en cualquier momento?  La no proliferación no es el desarme, como estamos aprendiendo a costa nuestra.

Peligra nuestra infraestructura vital

Un Estado-nación hoy puede tener la capacidad de atacar a las computadoras que controlan la infraestructura vital de otro país, causando fallas catastróficas.  Consideremos el caso de un reactor nuclear.  Su núcleo está controlado por computadoras integradas, que son parte del sistema de control del complejo.  Si se conoce el sistema de control, es posible “infectar” el sistema de manera que provoque su mal funcionamiento, llegando incluso a una fusión del núcleo.  Después de Fukushima, ¿alguien puede dudar de que esto sería un acto de guerra, a la par de un ataque físico contra el reactor nuclear?

La red de energía eléctrica, el control de fábricas peligrosas, las redes de telecomunicaciones, los controles de tráfico aéreo, incluso los aviones en vuelo, son manejados por computadoras y software.  Con Internet de las cosas, incluso la humilde lavadora tendrá computadoras incorporadas y estará conectada a Internet.  Si los países se plantean jugar con este tipo de software y computadoras, se abre todo un nuevo campo de guerra, con consecuencias incalculables.

 

En la planta de enriquecimiento de combustible nuclear, en Natanz, Irán, los EE.UU. e Israel desplegaron el virus Stuxnet[2] para atacar a los controladores de Siemens de las centrifugadoras, ocasionando daños físicos a los equipos.  Incluso cuando un equipo o país específico es el blanco, Stuxnet ha demostrado[3] que estos virus pueden escapar y propagarse, constituyendo una amenaza para otros equipos y países.  El virus Stuxnet infectó a miles de tales equipos en Indonesia, India y otros países, y fácilmente podía haber afectado a otros controladores de Siemens en los equipos vitales de estos países.  El ataque a Irán –con la clave “Juegos Olímpicos”– no sólo se dirigió a las centrifugadoras, sino también a los equipos que almacenan datos de la industria petrolera, utilizando un virus (Flame) que parece ser de la misma familia que Stuxnet.

Se han dado ataques, atribuidos por fuentes estadounidenses a Irán, que borraron los datos de dos tercios de las computadoras Armco en Arabia Saudita; ataques similares se han dirigido al sistema bancario de Estados Unidos.  The Intercept publicó un documento de la NSA[4] que considera que estos ataques son la respuesta de Irán a los ataques contra Natanz y su infraestructura de información petrolera.  En otras palabras, Irán respondió con su propia versión de Juegos Olímpicos.

El virus Stuxnet es el primer caso conocido del uso de un virus informático para destruir o dañar equipos físicos.  Quienes siguen estos temas reconocen que es la primera vez que un país ha atravesado este umbral.  Fue el cruce del Rubicón en los ataques cibernéticos.

En el contexto de la utilización de Stuxnet contra Irán, muchos expertos occidentales han argumentado que el uso de un virus informático para paralizar una planta de enriquecimiento de combustible nuclear es mejor que el bombardeo directo.  La cuestión aquí no es qué curso de acción es el mejor (y por supuesto, para quién), sino si se trata o no de un acto de guerra.  ¿Existe alguna diferencia entre el bombardeo de una instalación y el daño físico con un virus?

Los socios EE.UU. y los 5-Ojos[5] han insertado 50.000 programas de software malicioso –también llamados Computer Network Exploitations (CNE), explotaciones de la red informática– en las redes de casi todos los países del mundo[6].  Se trata de “bombas lógicas”, que, al activarse, pueden derribar estas redes.  También han infiltrado armas en la red troncal de Internet[7].

¿Qué es el ciberespacio y qué es la ciberguerra?

Como lo demuestra el ejemplo de Irán, ya estamos en las primeras etapas de la guerra cibernética.  Bruce Schneier, el decano de la seguridad cibernética, ha dicho[8]: “Estamos en los primeros años de una carrera armamentista de ciberguerra.  Es caro, es desestabilizador y amenaza el tejido mismo de la Internet que usamos todos los días.  La adopción de tratados sobre la ciberguerra, por imperfectos que sean, serían la única manera de contener la amenaza”.

El problema crucial para el desarme en Internet es la convicción de EE.UU. de que está muy por delante de sus rivales, y entonces cualquier pacto de desarme equivaldría a un desarme unilateral.  Como resultado, EE.UU. ha rechazado las propuestas de Rusia y China de desmilitarización de Internet, en la ONU y otras plataformas; o les ha diluido al punto tornarlas prácticamente inútiles.  Y si bien recientemente ha hecho algunas concesiones –como lo demuestra el Informe del Grupo de Expertos Gubernamentales a la 68ª Sesión de la Asamblea General[9]– por desgracia, se quedan cortas.  Todo lo que han logrado es la creación de un nuevo Grupo de Expertos Gubernamentales.

Casi todos los sistemas en el mundo que controlan infraestructura física crítica hoy están conectados a Internet de alguna manera.  Pueden estar conectados a través de redes internas que aparentemente están aisladas de Internet, pero en realidad, tienen dispositivos comunes que incumplen este aislamiento.  En teoría, se tiene cortafuegos que protegen este tipo de redes internas y sistemas de control.  En la práctica, este tipo de cortafuegos de seguridad puede ser fácilmente violado.  El ciberespacio es la totalidad de todas las redes y dispositivos que están interconectados de esta manera.

La ciberguerra consiste en ataques en el ciberespacio que traspasan un umbral determinado.  Un enfoque para la definición de la ciberguerra sería en términos del daño físico que un ataque cibernético causaría en el mundo real.  El ataque, por parte de un Estado contra otro, utiliza el software o código destinado a impedir el funcionamiento (o el mal uso) de una red informática esencial, y así dañar la infraestructura crítica, o causar daño físico a la propiedad o a las personas –incluyendo la pérdida de la vida–, o a ambas.  En esta definición, la ciberguerra siempre implica un actor estatal, no es el trabajo de un grupo o un individuo.

Este enfoque tiene el mérito de definir la guerra cibernética como un acto de guerra, sobre una base similar a la definición de un acto de guerra existente en el derecho internacional.  Para ser considerado como ciberguerra, las acciones deben estar en una escala que constituye uso de la fuerza (o la amenaza de uso de la fuerza), como lo estipula el artículo 2 (4) de la Carta de la ONU.  Otros enfoques pretenden incluir también los daños al sistema informático y a la información, como ciberguerra, lo que requeriría una ampliación de la definición actual de la guerra.  Hay, también, el problema de definir qué constituye un umbral: ¿desde qué punto podemos describir la pérdida de información en los sistemas como un acto de guerra?  Después de todo, la pérdida de información ocurre por una variedad de razones, apenas algunas de ellas maliciosas.

Sí es posible definir lo que constituye la guerra en el ciberespacio, que permita llegar a un acuerdo internacional que establezca que la ciberguerra –o cualquier ataque que resulte en daño físico o pérdida de vidas– sea en adelante ilegal.  Es importante tener en cuenta que el derecho internacional actual no considera todos los actos de guerra como ilegales.  Con un margen relativamente estrecho, limita la base jurídica para la guerra, sea a la legítima defensa de un país, o en base a una resolución del Consejo de Seguridad de las Naciones Unidas.  Excluir la ciberguerra como una “forma permisible de guerra” en el derecho internacional constituiría un gran paso adelante.

La otra opción sería la de prohibir las armas cibernéticas, con el compromiso, a través de un acuerdo internacional, de que este tipo de armas no vaya a ser desarrollado o utilizado por ningún país.  La prohibición de las armas cibernéticas sería similar a la prohibición de las armas biológicas y químicas.  Estoy convencido de que, dado nuestra rápida transición hacia un mundo más interconectado, necesitamos ir más allá de la prohibición de la ciberguerra; tenemos que prohibir las armas cibernéticas también.  El desarrollo de este tipo de armas es una amenaza para nuestro futuro.  Mientras las armas cibernéticas no sean ilegales, existirá la motivación para desarrollarlas como una especie de disuasión.  Es más, persistirá la motivación perversa para debilitar la seguridad de las redes y dispositivos.

Las recientes revelaciones de Snowden y otros han puesto de manifiesto que EE.UU. ha debilitado sistemáticamente la seguridad de varias formas.  La falta de seguridad fue incorporada a propósito en dispositivos, en el software de los controladores de dichos dispositivos, en distintos protocolos, e incluso en los estándares de encriptación.  Las agencias de inteligencia de Estados Unidos lo hicieron en colaboración con los principales fabricantes de hardware y software.  Si bien esto puede haber ayudado a la NSA y otras agencias de inteligencia para la vigilancia masiva o dirigida, el peligro es que ha dado lugar a sistemas mucho menos seguros para todos nosotros.  Al debilitar los sistemas, la NSA y sus aliados nos han convertido a todos en blancos más fáciles para el software malicioso.

Por supuesto, las capacidades ofensivas son mucho más fáciles de construir que las defensivas.  Para lograr una acción ofensiva, solo se necesita tener éxito una vez; para la defensa, se debe tener éxito todas las veces.  De ahí que la defensa requiere de la colaboración global.  Este es el punto de diferencia con los Juegos Olímpicos: no hay ganadores ni perdedores individuales.  Sólo se gana cuando todo el mundo también gana.

Necesitamos un cambio de mentalidad: tenemos que diseñar los dispositivos y las redes con fines defensivos.  Tenemos que incorporar la seguridad dentro de la ADN de todas las comunicaciones. Esto significa un cambio de visión de todos los actores, incluido la del actor predominante, EE.UU.  Necesitamos construir defensas fuertes y no debilitarlas, si queremos alcanzar la ciberpaz, y no la ciberguerra.

 

Por Prabir Purkayastha (Co-coordinador de la Coalición Just Net y participa en el Movimiento por el Software Libre de India.)

(Traducción ALAI)

 

Agradecimientos:

1) Este artículo ha utilizado como fuente, “Apuntes sobre la necesidad de un tratado de ciberpaz”, Coalición Just Net, junio de 2014, disponible en http://www.alainet.org/es/active/74562.

2) Me gustaría reconocer el aporte de Rishab Bailey, quien hizo gran parte de la investigación para este artículo.

Artículo publicado en: América Latina en Movimiento 503, ALAI abril 2015.  “Hacia una Internet ciudadana”. http://www.alainet.org/es/revistas/169246

 


[5] Conformado por EEUU, Reino Unido, Canadá, Australia y Nueva Zelandia.

Anuncios