La siguiente fase de la ciberseguridad: la ¡®ciberdisuasi¨®n¡¯

Los atacantes inform¨¢ticos representan toda una serie de amenazas para muy diversos objetivos. Rusia, por ejemplo, ha sido acusada de piratear los ordenadores del Partido Dem¨®crata a lo largo del a?o e interferir en las elecciones presidenciales de Estados Unidos. Otro caso fue el del atacante desconocido que, en un solo d¨ªa de octubre, utiliz¨® miles de dispositivos conectados por Internet, como grabadoras de v¨ªdeo y c¨¢maras, infectados con el malware Mirai para inutilizar destacadas webs, Twitter entre ellas.

Desde 2005 hasta 2015, los organismos federales han informado de un aumento del 1.300% en los incidentes relacionados con la ciberseguridad. Es evidente que tenemos que mejorar nuestra manera de hacer frente a esta amplia categor¨ªa de amenazas. Algunos de los que trabajamos en este campo nos preguntamos si la ciberdisuasi¨®n podr¨ªa ser de ayuda.

Desde 2005 hasta 2015, los organismos federales han informado de un aumento del 1.300% en los incidentes relacionados con la ciberseguridad

El objetivo de la disuasi¨®n es hacer que los adversarios en potencia se lo piensen dos veces antes de atacar, al obligarlos a considerar los costes que tendr¨ªa, as¨ª como las posibles consecuencias de un contraataque. La disuasi¨®n tiene dos principios b¨¢sicos. El primero es el rechazo, que consiste en convencer a los posibles atacantes de que no van a tener ¨¦xito, al menos sin un coste y un esfuerzo enormes, superiores a los que est¨¢n dispuestos a invertir. El segundo es el castigo, consistente en asegurarse de que los adversarios saben que habr¨¢ una respuesta contundente que podr¨ªa causarles m¨¢s da?o del que est¨¢n dispuestos a soportar.

Durante d¨¦cadas, la disuasi¨®n ha contrarrestado eficazmente la amenaza de las armas nucleares. ?Podemos alcanzar resultados similares frente a las armas cibern¨¦ticas?

Por qu¨¦ es dif¨ªcil la ¡®ciberdisuasi¨®n¡¯

La disuasi¨®n nuclear funciona porque hay pocos pa¨ªses que tengan armas at¨®micas o los importantes recursos necesarios para invertir en ellas. Los que las tienen reconocen que lanzar un primer ataque es exponerse a una respuesta nuclear devastadora. Adem¨¢s, la comunidad internacional ha establecido instituciones, como el Organismo Internacional de la Energ¨ªa At¨®mica, y acuerdos, como el Tratado de No Proliferaci¨®n de Armas Nucleares, para neutralizar la amenaza catastr¨®fica que representa el armamento at¨®mico.

El objetivo de la disuasi¨®n es hacer que los adversarios en potencia se lo piensen dos veces antes de atacar

Las armas cibern¨¦ticas no tienen nada que ver con las nucleares. Se desarrollan sin dificultad y las emplean tanto individuos y grupos peque?os como Estados. Son f¨¢ciles de reproducir y distribuir por las redes, lo cual hace vana toda esperanza en cualquier cosa que pudiese recibir el nombre de ¡°no proliferaci¨®n cibern¨¦tica¡±. Con frecuencia, se utilizan al amparo del anonimato, lo cual hace que resulte dif¨ªcil averiguar qui¨¦n es el verdadero responsable. Adem¨¢s, los ciberataques pueden producir una amplia variedad de efectos, la mayor¨ªa de los cuales causan trastornos y son costosos, pero no catastr¨®ficos.

Esto no significa que la ciberdisuasi¨®n est¨¦ condenada al fracaso. La magnitud de los ciberataques basta para exigir que nos defendamos mejor de ellos.

Podemos hacer tres cosas para reforzar la ciberdisuasi¨®n: mejorar la ciberseguridad, utilizar defensas activas y establecer normas internacionales para el ciberespacio. Las dos primeras medidas perfeccionar¨¢n nuestras ciberdefensas, de manera que aunque no se impida el ataque, este no tenga ¨¦xito.

Redoblar la protecci¨®n

La ciberseguridad contribuye a disuadir fundamentalmente por el principio del rechazo, al frenar los ataques antes de que puedan alcanzar sus objetivos. Esto incluye reforzar la seguridad de la conexi¨®n, codificar los datos y las comunicaciones, combatir los virus y otros programas malignos, y tener actualizado el software para recomponer los puntos d¨¦biles cuando se detecten.

Los ciberataques pueden producir una amplia variedad de efectos, la mayor¨ªa de los cuales causan trastornos y son costosos, pero no catastr¨®ficos

Pero a¨²n m¨¢s importante es desarrollar productos que, en el peor de los casos, apenas tengan puntos d¨¦biles en cuanto a seguridad cuando se env¨ªan e instalan. El botnet Mirai, capaz de generar flujos masivos de datos que sobrecargan los servidores de internet, se adue?a de los dispositivos con grandes agujeros de seguridad, entre otros las contrase?as predeterminadas incrustadas en elfirmware que los usuarios no pueden cambiar. Mientras que algunas empresas, como Microsoft, hacen grandes inversiones en la seguridad de sus productos, otras, incluidos muchos comercializadores de la Internet de las Cosas, no lo hacen.

El gur¨² de la ciberseguridad Bruce Schneier caracteriza acertadamente el predominio de los aparatos de la Internet de las Cosas inseguros como un fallo del mercado parecido a la contaminaci¨®n. En pocas palabras, el mercado prefiere los aparatos baratos e inseguros a los m¨¢s caros pero seguros. ?Qu¨¦ soluci¨®n da ¨¦l? La regulaci¨®n, ya sea imponiendo unas normas b¨¢sicas de seguridad a los productores, o haci¨¦ndolos responsables cuando sus productos se utilizan en ataques.

Defensas activas

En lo que respecta a emprender acciones contra los atacantes, existen muchas maneras de vigilar, identificar y contrarrestar los ciberataques enemigos. Estas ciberdefensas activas son similares a los sistemas de defensa antia¨¦reos que controlan el cielo en busca de aviones hostiles y derriban los misiles que se aproximan. Las redes de monitores que vigilan y bloquean (¡°derriban¡±) los paquetes hostiles son un ejemplo, como tambi¨¦n los sistemas se?uelo que atraen a los paquetes enemigos o los desv¨ªan hacia ¨¢reas seguras, donde no da?an la red contra la que iban dirigidos e incluso se pueden estudiar para descubrir las t¨¦cnicas de los atacantes.

El botnet Mirai se adue?a de los dispositivos con grandes agujeros de seguridad, entre otros las contrase?as predeterminadas incrustadas en el firmware

Otro conjunto de defensas activas consiste en recoger, analizar y compartir informaci¨®n sobre amenazas en potencia, de tal manera que los operadores de la red puedan reaccionar a las ¨²ltimas novedades. Por ejemplo, podr¨ªan escanear regularmente sus sistemas en busca de aparatos vulnerables al botnet Mirai o infectados por ¨¦l o por otros programas malignos. Si encuentran alguno, podr¨ªan desconectarlos de la red y advertir del peligro a los propietarios de los aparatos.

La ciberdefensa activa hace algo m¨¢s que limitarse a privar de oportunidades a los atacantes. Con frecuencia logra desenmascarar a las personas que se esconden detr¨¢s de ellos y hacer que reciban su castigo. A los atacantes no gubernamentales se les puede impedir operar, detenerlos y juzgarlo; los pa¨ªses que practican o apoyan la guerra inform¨¢tica pueden ser sancionados por la comunidad internacional.

Actualmente, sin embargo, el sector privado es reacio a utilizar muchas defensas activas debido a la incertidumbre legal. El Centro para la Ciberseguridad y la Seguridad Nacional de la Universidad George Washington recomienda diversas medidas que el Gobierno y el sector privado pueden adoptar para facilitar una mayor generalizaci¨®n del empleo de las defensas activas, entre otras, una normativa clarificadora.

Establecer normas internacionales

Por ¨²ltimo, las normas internacionales para el ciberespacio pueden contribuir a la disuasi¨®n si los Gobiernos de los pa¨ªses saben que se les puede identificar y avergonzar ante la comunidad internacional por haber llevado a cabo un ciberataque. En 2014, Estados Unidos present¨® cargos contra cinco piratas inform¨¢ticos militares chinos por atacar a varias empresas estadounidenses. Un a?o despu¨¦s, este mismo pa¨ªs y China acordaron no robarse ni explotar los secretos de sus respectivas empresas con fines comerciales. A ra¨ªz de estos sucesos, el ciberespionaje procedente de China cay¨® en picado.

Estas ciberdefensas activas son similares a los sistemas de defensa antia¨¦reos que controlan el cielo en busca de aviones hostiles

Tambi¨¦n en 2015, un grupo de expertos de Naciones Unidas recomend¨® que se prohibiesen los ciberataques contra infraestructuras vitales, como los equipos de respuesta a emergencias inform¨¢ticas de un pa¨ªs. Y m¨¢s adelante ese mismo a?o, el G-20 hizo p¨²blica una declaraci¨®n oponi¨¦ndose al robo de la propiedad intelectual en beneficio de las firmas comerciales. Estas normas podr¨ªan disuadir a los Gobiernos de perpetrar esta clase de ataques.

El ciberespacio nunca ser¨¢ inmune a las agresiones; no m¨¢s de lo que nuestras calles son inmunes a la delincuencia. Pero con una ciberseguridad reforzada, un mayor empleo de las ciberdefensas activas y unas normas internacionales para el ciberespacio podemos esperar, al menos, tener el problema bajo control.

Dorothy Denning es Catedr¨¢tica de An¨¢lisis de la Defensa. Escuela de Posgrado de la Marina.

Cl¨¢usula de divulgaci¨®n: Dorothy Denning es catedr¨¢tica de An¨¢lisis de la Defensa de el Escuela de Posgrado de la Marina. Las opiniones expresadas en este art¨ªculo son de la autora y no reflejan la pol¨ªtica ni la postura oficiales del Departamento de Defensa ni del Gobierno federal de Estados Unidos.

Este art¨ªculo fue publicado originalmente en ingl¨¦s en la web The Conversation.

Traducci¨®n de News Clips.