La amenaza de los 'hackers' rusos y la excesiva confianza en la cooperación voluntaria del sector privado han provocado que las autoridades por fin estén dispuestas a ponerse más firmes
El hackeo de 2021 de Colonial Pipeline, el mayor oleoducto de Estados Unidos, causó una falta de combustible en la costa este de EE UU y que miles de estadounidenses asustados acapararan gasolina. Los fallos básicos de ciberseguridad dejaron entrar a los hackers. Más tarde, la empresa tomó la decisión unilateral de pagarles 5 millones de dólares (3,6 millones de euros) y cortar gran parte del suministro de combustible de la costa este estadounidense. Colonial Pipeline no lo consultó con el Gobierno hasta el momento en el que se tenían que reparar daños para resolver la situación.
Desde el otro lado del Atlántico, el ex alto funcionario de ciberseguridad de Reino Unido Ciaran Martin contemplaba lo ocurrido bastante desconcertado y con asombro.
"La valoración cruda del hackeo de Colonial es que la empresa tomó decisiones por estricto interés comercial, todo lo demás fue responsabilidad del Gobierno federal", señala Martin.
En la actualidad, algunos de los más altos funcionarios de ciberseguridad de EE UU, incluido el actual director de Ciberseguridad de la Casa Blanca, consideran que ha llegado el momento de que el Gobierno asuma un papel relevante en la cuestión. Los empleados públicos apuestan por una regulación en el campo de la ciberseguridad, para que fiascos como el de Colonial no vuelvan a ocurrir.
El cambio de rumbo se produce justo cuando la guerra en Ucrania y la mayor amenaza de nuevos ciberataques de Rusia están obligando a la Casa Blanca a replantearse cómo mantener a salvo la nación.
"Estamos en un punto de inflexión", asegura Chris Inglis, director nacional de Ciberseguridad de la Casa Blanca y principal asesor de Biden en ciberseguridad, a MIT Technology Review en su primera entrevista desde la invasión rusa de Ucrania. "Cuando se trata de funciones críticas que sirven a las necesidades de la sociedad, algunas cosas simplemente no son opcionales", señala.
La nueva estrategia de ciberseguridad de la Casa Blanca consiste en una supervisión gubernamental más estricta. Esta revisión pasa por establecer unas normas para que organizaciones cumplan con estándares mínimos de ciberseguridad, alianzas más estrechas con el sector privado. Así pues, la Casa Blanca quiere alejarse de la estrategia actual que prioriza el mercado y los procedimientos de ejecución, para garantizar el cumplimiento de las nuevas reglas. Se inspirará en algunos de los logros regulatorios más conocidos de la nación, como la Ley de Aire Limpio o la formación de la Administración de Alimentos y Medicamentos.
Con las amenazas inminentes de los hackers rusos, la Comisión Federal de las Comunicaciones de Estados Unidos (FCC, por sus siglas en inglés) está haciendo planes sobre la posibilidad de que los rusos se apropien del tráfico de internet. Esta táctica ya ha sido empleada por Moscú (Rusia) en el pasado. La nueva iniciativa de la FCC, anunciada el 11 de marzo, tiene como objetivo investigar si las empresas de telecomunicaciones de EE UU están haciendo lo suficiente para protegerse contra la amenaza. No obstante, se trata de un verdadero reto para la agencia porque no tiene el poder de obligar a las empresas a cumplir con la normativa. FCC plantea la posibilidad de una crisis de seguridad nacional para que todos sigan la línea oficial.
Muchos expertos opinan que no puede continuar esta dependencia casi total de la buena voluntad del mercado para mantener seguros a los ciudadanos.
"La estrategia de ciberseguridad puramente voluntaria simplemente no nos ha llevado a donde deberíamos estar, a pesar de varias décadas de esfuerzos", resalta Suzanne Spaulding, alta funcionaria de ciberseguridad de la administración de Obama. "Los factores externos han justificado durante mucho tiempo la regulación y los cometidos, como en el caso de la contaminación y la seguridad vial".
Fundamentalmente, los altos funcionarios de la Casa Blanca coinciden. "Soy muy partidario de lo que expresa Suzanne y estoy de acuerdo con ella", subraya Inglis.
Si no ocurre un cambio drástico, los defensores de esta reforma creen que la historia se repetirá.
"No es ningún secreto que las empresas no están a favor de unas reglas estrictas sobre ciberseguridad", indica el senador Ron Wyden, una de las voces más fuertes del Congreso de EE UU sobre temas de ciberseguridad y privacidad. "Así es como nuestro país llegó a esta situación en ciberseguridad. Por eso no voy a fingir que cambiar el statu quo sea fácil. Pero la alternativa sería dejar que los hackers de Rusia y China e incluso Corea del Norte revuelvan los sistemas críticos de Estados Unidos. Espero sinceramente que el próximo ataque no cause más daños que el de Colonial Pipeline, pero eso es casi inevitable a no ser que el Congreso se ponga serio".
El cambio no será fácil. A muchos expertos, tanto dentro como fuera del Gobierno, les preocupa que una regulación mal escrita pueda hacer más daño que bien. Además, algunos funcionarios desconfían por la falta de experiencia en ciberseguridad de los reguladores. Por ejemplo, las recientes ciber-normativas de la Administración de Seguridad del Transporte sobre los oleoductos representan "un lío" debido a lo que los críticos aseguran que son reglas rígidas e inexactas que causan más problemas de los que resuelven. Los oponentes lo señalan como el resultado de un regulador con un cometido enorme pero sin suficiente tiempo, recursos y personal experto para realizar el trabajo correctamente.
Glenn Gerstell, consejero general de la Agencia de Seguridad Nacional de EE UU hasta 2020, argumenta que el actual enfoque disperso (ese conjunto de diferentes reguladores que trabajan en sus propios sectores específicos), no funciona, y que EE UU necesita una autoridad central de ciberseguridad con experiencia y recursos que se ampliarían hacia diferentes industrias críticas.
El rechazo de las regulaciones sobe los oleoductos indica lo difícil que podría ser el proceso. Pero a pesar de eso, existe un consenso cada vez mayor de que resulta insostenible el statu quo, esa letanía de fallos de seguridad e incentivos impropios.
Ley histórica
El incidente del Colonial Pipeline demostró lo que muchos ciber-expertos ya saben: la mayoría de los ataques son el resultado de los hackers oportunistas que explotan los problemas de hace años en los que las empresas no invierten en resolver.
"La buena noticia es que en realidad sabemos cómo solucionar estos problemas", destaca Glenn Gerstell. "Podemos arreglar la ciberseguridad. Puede ser costoso y difícil, pero sabemos cómo hacerlo. No se trata de un problema tecnológico".
Otro gran ciberataque reciente lo vuelve a demostrar: SolarWinds, la campaña de hackeo rusa contra el Gobierno de EE UU y las mayores empresas, pudo haber sido neutralizada si las víctimas hubieran seguido estándares de ciberseguridad bien conocidos.
"Existe una tendencia a exagerar las capacidades de los hackers responsables de los mayores incidentes de ciberseguridad, prácticamente al nivel de un desastre natural u otros supuestos actos de Dios", resalta Wyden. "Eso absuelve de forma conveniente a las organizaciones hackeadas, a sus directivos y a las agencias gubernamentales de cualquier responsabilidad. Pero cuando los hechos salen a la luz, la sociedad ha visto en repetidas ocasiones que los hackers a menudo consiguen su inicial punto de apoyo porque la organización no estaba manteniendo al día los parches, o no configuró correctamente sus firewalls".
La Casa Blanca sabe claramente que muchas empresas no invierten y no invertirán lo suficiente en la ciberseguridad por su cuenta. En los últimos seis meses, la Administración adoptó nuevas normas de ciberseguridad para bancos, oleoductos, sistemas ferroviarios, aerolíneas y aeropuertos. Biden firmó el año pasado una orden ejecutiva de ciberseguridad para reforzar la ciberseguridad federal e imponer estándares de seguridad a cualquier empresa que venda algo al Gobierno. Cambiar el sector privado siempre ha sido la tarea más desafiante y, posiblemente, la más importante. La gran mayoría de la infraestructura crítica y sistemas tecnológicos pertenecen al sector privado.
La mayoría de las nuevas reglas se han convertido en requisitos muy básicos y un ligero toque gubernamental, pero aun así han recibido el rechazo de las empresas. A pesar de eso, está claro que vendrán más.
"Hay tres cosas importantes que se necesitan para solucionar el lamentable estado actual de la ciberseguridad de EE UU", según Wyden. "Los estándares mínimos obligatorios de ciberseguridad aplicados por los reguladores; las obligatorias auditorías de ciberseguridad, realizadas por auditores independientes que no son elegidos por las empresas que auditan, cuyos resultados se entregarían a los reguladores; y multas elevadas, incluidas condenas de prisión para los altos directivos, cuando la desatención a las ciber-necesidades básicas da como resultado una vulneración".
La nueva regulación de notificación obligatoria de incidentes, que se convirtió en ley el pasado martes, se considera un primer paso. La ley requiere que las empresas privadas compartan rápidamente la información sobre las amenazas comunes que solían mantener en secreto. Esa información exacta a menudo puede ayudar a construir una defensa colectiva más fuerte.
Los intentos previos de regulación han fracasado, pero el último esfuerzo para una nueva ley de notificación ganó impulso gracias al apoyo clave de los gigantes corporativos como Kevin Mandia, CEO de Mandiant y Brad Smith, presidente de Microsoft. Es una señal de que los líderes del sector privado ven la regulación como inevitable y, en áreas clave, también beneficiosa.
Inglis destaca que la elaboración y aplicación de nuevas normas requerirá en cada paso una estrecha colaboración entre Gobierno y empresas privadas. E incluso desde dentro del sector privado, están de acuerdo en que se necesita un cambio.
"Hace mucho tiempo que lo intentamos de manera puramente voluntaria", cuenta Michael Daniel, director de Cyber Threat Alliance, un conjunto de empresas tecnológicas que comparten información sobre ciber-amenazas para crear una mejor defensa colectiva. "No va tan rápido ni tan bien como necesitamos que fuera".
La opinión desde el otro lado del Atlántico
Desde la Casa Blanca, Inglis argumenta que Estados Unidos se ha quedado atrás en comparación con sus aliados. Señala al Centro Nacional de Ciberseguridad (NCSC) de Reino Unido como una agencia de ciberseguridad gubernamental pionera de la que EE UU debería aprender. Ciaran Martin, CEO fundador del NCSC, analiza el ciber-enfoque estadounidense con asombro y desconcierto.
"Si una empresa de energía británica le hubiera hecho al Gobierno británico lo que Colonial le hizo al Gobierno de EE UU, los habríamos atacado verbalmente al más alto nivel", asegura. "Yo habría insistido en que el primer ministro llamara al presidente de la empresa para decirle: '¿Qué diablos creéis que hacéis pagando el rescate y cortando el servicio de este oleoducto sin decírnoslo?'".
Las ciber-regulaciones de Reino Unido funcionan de tal manera que los bancos deben resistir tanto un shock financiero global como ciberataques. Reino Unido también ha fijado una regulación más estricta en las telecomunicaciones como resultado de que una gran empresa de telecomunicaciones británica es "propiedad total" de hackers rusos, según Martin quien indica que las nuevas normas de seguridad convierten en ilegales los anteriores fallos de seguridad en las telecomunicaciones.
Al otro lado del Atlántico, la situación es diferente. La Comisión Federal de Comunicaciones, que supervisa las telecomunicaciones y la banda ancha en EE UU, redujo significativamente su poder regulatorio durante la presidencia de Trump y depende principalmente de la cooperación voluntaria de los gigantes de internet.
El enfoque de Reino Unido de abordar industrias específicas, una a una, basándose en poderes regulatorios que ya tienen, en lugar de una nueva ley centralizada única que lo cubra todo, es similar a cómo funcionará la ciber-estrategia de la Casa Blanca de Biden.
"Debemos aprovechar las autoridades reguladoras que ya tenemos", afirma Inglis.
Wyden cree que la estrategia de la Casa Blanca indica un cambio muy necesario.
"Los reguladores federales, en general, han tenido miedo de usar la autoridad que tienen o de pedirle al Congreso nuevas autorizaciones para regular las prácticas de ciberseguridad de la industria", señala. "No es de extrañar que tantas industrias tengan una ciberseguridad desastrosa. Sus reguladores básicamente han dejado que las empresas se regulen a sí mismas".
Por qué falla el mercado de la ciberseguridad
Hay tres razones fundamentales por las que el mercado de ciberseguridad, con un valor de cientos de miles de millones de euros, y crece a nivel mundial, se queda corto.
Las empresas no han descubierto cómo la ciberseguridad les hace ganar dinero, opina Daniel. El mercado no valora adecuadamente la ciberseguridad y, lo que es más importante, a menudo no puede conectarla con el resultado final de una empresa, por lo que no siempre puede justificar los gastos necesarios.
La segunda razón es la discreción. Las empresas no han tenido que informar sobre ataques, por lo que los datos cruciales sobre los grandes hackeos se han mantenido secretos para protegerlas de la mala prensa, de las demandas y de los legisladores.
En tercer lugar está el problema de la escala. El precio que el Gobierno y la sociedad pagaron por el ataque a Colonial era mucho mayor de lo que pagaría la propia empresa. Al igual que con el tema de la contaminación, "los costes no aparecen en el resultado final del negocio", resalta Spaulding, por lo que los incentivos del mercado para solucionar los problemas son escasos.
Los defensores de la reforma opinan que una mano más dura del Gobierno cambiaría la ecuación en todo eso, exactamente como lo ha hecho la reforma en docenas de industrias durante el último siglo.
Gerstell cree que la presión crece poco a poco para lograr algo diferente al status quo.
"Nunca antes había visto una casi unanimidad y tanta conciencia", admite Gerstell. "Esto se ve y percibe diferente. Aún no está claro si será suficiente para realmente impulsar el cambio, pero la temperatura está aumentando".
Inglis señala que los casi 2.000 millones de dólares (1.812 millones de euros) destinados a la ciberseguridad en el proyecto de ley de infraestructura de Biden de 2021 son una "oportunidad única en una generación" para que el Gobierno intensifique la ciberseguridad y la privacidad.
"Debemos asegurarnos de no pasar por alto las impresionantes oportunidades que tenemos para invertir en la resiliencia y la solidez de la infraestructura digital", argumenta. "Tenemos que preguntarnos cuáles son las funciones sistémicamente críticas de las que depende nuestra sociedad y si las fuerzas del mercado, por sí solas, las atenderán. Y, cuando esas fuerzas se quedan cortas, cómo determinamos lo que debemos hacer. Ese es el camino que tenemos por delante. No tiene por qué ser un proceso que dure años, podemos llevarlo a cabo con un cierto grado de urgencia".